GO Web-使用refresh Token 刷新access Token 模式

最新推荐文章于 2024-05-29 18:55:09 发布
最新推荐文章于 2024-05-29 18:55:09 发布
阅读量572 收藏 16
点赞数 7
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gaorui678/article/details/139030661
版权

在许多现代Web应用程序和API设计中,为了保护用户的凭证安全并维护会话的有效性,通常会采用Access Token和Refresh Token的模式来处理用户认证。

Access Token
作用:Access Token是客户端用来访问受保护资源的凭据。它有有限的有效期,过期后需要重新获取才能继续访问资源。
特点:有效期较短,提高安全性,减少泄露风险。

Refresh Token
作用:Refresh Token用于在Access Token过期后获取新的Access Token,而无需用户重新登录或重新授权。
特点:有效期较长,通常比Access Token长很多,有时甚至是永久有效的,直到用户注销或被撤销。

刷新流程:
1. 初次认证:用户通过认证服务(如OAuth 2.0服务提供商)提供凭证(如用户名和密码),认证成功后,服务返回一对Token——Access Token和Refresh Token。
   
2. 使用Access Token:客户端在后续请求中携带Access Token以访问受保护资源。

3. 检测Access Token过期:当客户端收到Access Token过期的响应时(通常是HTTP 401 Unauthorized错误),而不是立即让用户重新登录,客户端将使用Refresh Token来请求新的Access Token。

4. 刷新Access Token:
   客户端向认证服务器发送一个包含Refresh Token的请求到特定的刷新端点(通常在文档中指定)。
   请求中通常包括`grant_type=refresh_token`和实际的Refresh Token。
   如果Refresh Token有效且未过期,认证服务器验证其有效性,并返回一个新的Access Token(可能还有新的Refresh Token,取决于实现)。
   客户端接收新的Access Token,并用它替换旧的,继续访问资源。

5. 错误处理:如果Refresh Token也过期或无效,客户端可能需要引导用户重新进行认证流程。

安全考虑
保护Refresh Token:因为Refresh Token允许长期访问权限,所以它应该被妥善存储,通常不在前端存储,而是存储在服务器端或安全的客户端存储中。
传输安全:所有涉及Token的请求都应通过HTTPS发送,以防止中间人攻击。
限制刷新次数或时间:某些系统可能限制Refresh Token的使用次数或设置最长刷新间隔,以进一步增强安全性。

实施建议
使用JWT(JSON Web Tokens):Access Token常使用JWT格式,因为它自包含且易于验证,但Refresh Token由于其敏感性和长期性,可能选择不使用JWT,以保持其可撤销性。
实施刷新逻辑:确保客户端和服务端都有逻辑处理Token刷新,包括错误处理和Token存储策略。

通过这种模式,我们可以在保证用户便利的同时,也维护了系统的安全性。

小高Baby@
关注
  • 7
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springSecurity-jwt:JWT access_tokenrefresh_token
04-10
accessToken refreshToken流安全登录处理流程详细说明转到博客文章JWT异常处理安全异常处理(AuthenticationEntryPoint,AccessDeniedHandler) 仅使用AccessToken时如果将AccessToken的有效时间设置得较长,则很...
auth-code获取access-tokenrefresh-token-0620版本
09-01
已将py文件打包成exe文件,方便使用,源代码可参考博文第二章 第一章 巨量千川M-api获取access_tokenrefresh_token,只需要输入APP_ID,secret,以及从回调链接的显示的auth_code即可获取到access_tokenrefresh_...
刷新令牌--refresh token
最新发布
生命不息,学习不止
05-29 333
刷新令牌token
访问令牌(AccessToken)与刷新令牌(RefreshToken
热门推荐
昨夜丶雨疏风骤的博客
05-15 1万+
源码点我 闲着无聊的我又来了,今天介绍一下访问令牌(AccessToken)与刷新令牌(RefreshToken)。 最近公司来了几个Java,然后空气顿时充满了学术的氛围,每天都弥漫着垃圾回收,内存分配,堆栈等等各种技术问题的讨论,竖起了我的小耳朵,我偶然间听到了这个Token过期的问题,今天来说一说。 众所周知,JWT是我们常用的Token类型之一,但是JWT是无状态的,所有的信息,包括超时时间都会编码在JWT中。如果Token设置的超时时间过长会显得有些不安全,如果设置的过短则必须频繁的登录。 在Id
accessTokenrefreshToken区别
Mr.绵羊的知识星球
09-01 2226
accessTokenrefreshToken关联和区别
前后端利用accessTokenrefreshToken无感刷新
没有翅膀的我们,只是随便认为不能飞而已
06-15 5284
项目初衷 以jwt(由header,payload和signature组成)为例,用户登录成功,后端返回accessToken。前端保存,请求接口携带,一切都是水到渠成的 可是在acessToken失效时,你正好请求一次接口,接口就挂了,可能你就跳到登录页了,用户体验也不好。我们希望虽然过期了,但是页面偷偷地刷新,不影响当前接口运行。如果你的方案是把accessToken的有效期设置地久一点,比如100年。你真的是个机智Boy,那设置jwt的意义何在。 方案 accessTokenrefreshToken
刷新token的操作
白小白的博客
10-11 921
import api from "@/utils/request.js" import { message } from "antd" // 保存token export function saveToken(token) { // 服务器5分钟过期 本地存储为4.5分钟后过期 const expries = new Date().getTime() + 3 * 60 * 1000 const obj = { token, expries } window.sessionStorage.s
refresh token作用与使用方式vue2.0
m0_56683897的博客
07-21 1081
通常情况来说,token失效会设计两种情况:1.token在浏览器储存时间过长,过期失效;2.同一个账号只能在一个浏览器登录存储token,在其他浏览器登陆上一个浏览器的账号会被抢占下线。由于不停的更新token,对于浏览器来讲,负载是非常大的,对于用户来说,体验感也不好,试想使用手机时,每隔10分钟锁一次屏,所以我们用到另个一保存token状态的refresh token,来保持token的有效性。
genetarate-access-and-refresh-token-jwt-auth
05-05
可用脚本在项目目录中,可以运行:npm start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何棉绒错误。npm test 在交互式监视模式下启动测试运行...
sping-boot-shiro-jwt-redis-refreshtoken.zip
08-25
标题 "sping-boot-shiro-jwt-redis-refreshtoken.zip" 暗示这是一个关于Spring Boot、Shiro、JWT(JSON Web Token)以及Redis整合的项目,用于实现权限管理和安全认证,特别是涉及到Token的自动刷新功能。...
webapi下的token认证和刷新token
04-27
通过ajax分配相应的clientID和Secret及用户名和...测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2017
手牵手带你实现无痛刷新token!什么,uniapp中还不会,那也手拉手带你实现一下吧
weixin_44995391的博客
06-05 3449
手牵手带你实现无痛刷新token!什么,uniapp中还不会,那也手拉手带你实现一下吧
项目中无感刷新token的思考和实现
yadang2的博客
08-30 437
用户身份验证的方案:AccessToken + RefreshToken 的无感刷新,本文有完整的解析和完整的封装源码。
实现无感刷新token(看这一篇就够了)
weixin_57909742的博客
11-09 3050
无感知刷新Token是指,在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token的无感知刷新,用户可以无缝继续使用应用。如何判断Token是否过期?如何在Token过期时自动使用Refresh Token获取新的Access Token?下面将介绍如何实现无感知刷新Token的具体步骤。无感刷新Token技术是一种在客户端应用中自动刷新访问令牌的机制,它通过提供用户无感知的刷新操作,改善了用户体验,提高了安全性,同时减轻了服务端的负担。
无感知 的刷新Token
qiaozhongsheng的博客
07-08 584
axios的响应拦截
Golang JWT 认证 (三)-添加token自动刷新机制
LeoForBest的博客
09-02 3414
上一个Demo中,token一旦过期无法刷新需要重新登录,因此需要某种机制来自动更新token
token刷新
qq_45432996的博客
05-06 3750
一般情况下状态码为 401 ,则表明 token 过期,需要前端请求新的 token 第一种:跳回登陆页面重新登陆 instance.interceptors.response.use( function (response) { // 对响应数据做点什么 return response.data }, function (error) { console.log(error) if (error.response) { if (error.re
token刷新功能实现记录
sunny-blog
08-14 4074
登录控制 : Token自动刷新功能,达到续期目的 前言: 为达成公司内部需求 : APP 登录. PC端登录 可以保留用户登录状态, 用户持续使用中,应在用户无感知的情况下自动续期token. 设计流程实现: 摘要说明: token时长例如 = 30min refreshToken时长务必大于token时长,这里我取值 = 60min 这里当token失效时: 后台会在返回数据时给headers中放入过期提醒状态. 前端需要使用响应前置拦截,并判断headers中的参数是否需要更新token
为什么要使用refreshtoken而不是直接刷新accesstoken的持续时间
06-03
使用 Refresh Token 的主要目的是为了增加安全性。Access Token 的持续时间较短,如果频繁地刷新 Access Token,就会增加被黑客攻击的风险。而 Refresh Token 的有效期较长,可以使用 Refresh Token 来获取新的 Access Token,减少了频繁刷新 Access Token 的操作,从而减少了风险。此外,使用 Refresh Token 还可以让用户在不需要再次输入密码的情况下,获取新的 Access Token

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值