WEB安全(十二)token的续签问题-即动态刷新token,避免用户经常重新登录

最新推荐文章于 2024-06-10 16:44:05 发布
最新推荐文章于 2024-06-10 16:44:05 发布
阅读量1w 收藏 33
点赞数 6
分类专栏: WEB安全 文章标签: web安全 java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JinYJ2014/article/details/122973355
版权

token有效期一般都设置得很短,那么token过期后如何动态刷新token,避免用户经常重新登录呢?

来看个具体需求:

超过2个小时后,用户没有请求,则需要重新登录。

这个需求一般有两种实现方式。

方式一 每次请求都返回新 token

假设一个 token 的签发时间为 12:00,需求为 2h 未进行请求即过期。则设置有效期 2h,那么每次请求都会把一个 token 换成一个新 token。如果 2h 没有进行请求,那么上一次请求的到的 token 就会过期,需要重新登录。不断签就能一直使用下去。

这种方式实现思路很简单,但开销比较大。

问题一:每次都刷新 token,带来的性能影响如何?

以前每次请求,需要进行一次 token 签名校验,而现在是要签发一个新 token,进行的都是一次签名运算,那么运算量即从 n 变成 2n。

其次,每次刷新都要把旧 token 加入黑名单,会导致黑名单特别大。

问题二:每次都刷新 token,并发请求时会不会因为 token 刷新而导致只有一个请求成功?

答案是确实会导致这个问题,怎么解决呢?设置一个宽限时间,每次 token 刷新后,原来逻辑应该是立刻不可用,现在设置一个宽限时间,让其在 n 秒之内仍然可用即可。

方式二 用户登录返回两个 token

第一个是 accessToken ,它的过期时间 token 本身的过期时间2个小时,另外一个是 refreshToken 它的过期时间更长一点比如为1天。客户端登录后,将 accessToken和refreshToken 保存在本地,每次访问将 accessToken 传给服务端。服务端校验 accessToken 的有效性,如果过期的话,就将 refreshToken 传给服务端。如果有效,服务端就生成新的 accessToken 给客户端。否则,客户端就重新登录即可。

该方案的不足是:

1、需要客户端来配合;

2、用户注销的时候需要同时保证两个 token 都无效;

3、重新请求获取 token 的过程中会有短暂 token 不可用的情况(可以通过在客户端设置定时器,当accessToken 快过期的时候,提前去通过 refreshToken 获取新的accessToken)

jinyangjie0
关注
  • 6
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
koa+jwt实现token验证与刷新功能
10-16
这通常涉及到两个JWT:一个访问令牌(Access Token)用于短期认证,另一个刷新令牌(Refresh Token)用于长期存储,当访问令牌过期时,用户可以使用刷新令牌获取新的访问令牌,而无需重新登录。 ```javascript app....
token 过期后,如何自动续期?
很多时候犯错都是在不知情的情况下发生的
05-24 334
如果经常需要用户重新登录,显然这种体验不是太好,因此很多应用会采用token过期后自动续期的方案,只有特定条件下才会让用户重新登录。首先我们看一个单token方案,这个方案除了可以实现token续期以外,还可以实现某些条件下的强制重新登录。JWT token的 payload 部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。另外后端还可以记录刷新token的次数,比如最多刷新50次,如果达到50次,则不再允许刷新,需要用户重新授权。代码语言:javascript。
token续期
zjun1001的博客
06-11 842
需求 项目前后端分离,采用token(jwt生成)方式作为登录及接口验证。自然而然就会涉及token超时,影响用户体验的问题。要解决的就是如果用户一直点击页面,就不应该出现超时及重新登录。只有用户在设置的超时时间内,一次页面操作都没有,才定为token超时,需要重新登录。 解决方案 网上大多都是结合redis,双token方案,个人感觉逻辑麻烦。现提供一种方案,也是结合redis,只是不用双token。方案如下: redis中存的key为用户id,value为token值,key的超时时间就是token的.
Token方案实现Token自动续期(基于springboot+vue前后端分离项目)
最新发布
qq_44286009的博客
06-10 1729
jwt理论介绍springboot+vue项目中使用jwt实现登录认证本篇文章的代码是在springboot+vue项目中使用jwt实现登录认证的基础上实现的Token自动续期的功能。双token解决方案是一种用于增强用户登录安全性和提升用户体验的认证机制。它主要涉及两个令牌:访问令牌(accessToken)和刷新令牌(refreshToken)。
cookie、session、token、JWT
weixin_42728957的博客
07-08 647
HTTP是无状态的协议,就是说他对事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息。每个请求都是完全独立的,服务端无法确认当前访问者身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。 所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我?),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自于同一个浏览器,而这个状态需要通过cookie或者session去实现。 cookie cookie是一种记录服务器和客户端会话状态的...
加密-随笔
dieyuechaoren的专栏
07-08 603
加密是为了信息不被泄露。 签名是为了信息不被篡改,接收者可以用来证伪。 加密和签名都需要加密算法。 对称加密,一个密钥,加密和解密都用这个。 非对称加密,公钥和私钥,一般是 RSA是非对称加密算法,公钥加密,加密结果每次不同(原因是,原始数据头部都会加一段伪随机字符串)。私钥加密,加密结果不变。 网络传输,http使用的token一般是使用公钥加密,所以每次请求会变。 ...
基于 Token 的身份验证方法
weixin_34367257的博客
09-27 945
使用基于 Token 的身份验证方法,在服务端不需要存储用户登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要...
Token总结
safasfsd的博客
08-30 475
转载自:https://mp.weixin.qq.com/s/DkwfpZibKdllfm0lpxukWg   Token 能解决哪些问题呢?有如下几点: Token 完全由应用管理,所以它可以避开同源策略。 Token 可以避免 CSRF 攻击(http://dwz.cn/7joLzx)。 Token 可以是无状态的,可以在多个服务间共享。   解决token...
JSON WEB TOKEN
weixin_34273481的博客
03-19 729
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token...
实现Token刷新机制
youngerxsd的博客
08-23 1925
开发的项目中,如果正在项目中编辑信息,编辑信息的时间的过程中token失效可能导致信息丢失怎么办?
Python库 | rolling_token_auth-0.1.2-py3-none-any.whl
02-19
Python库`rolling_token_auth-0.1.2-py3-none-any.whl`是一个用于后端身份验证的工具,特别关注于滚动令牌(Rolling Token)的管理。滚动令牌是一种安全机制,它允许用户在不中断服务的情况下周期性地更新访问令牌,...
SpringBoot+JWT实现单点登录解决方案
07-26
本方案结合了SpringBoot框架和JSON Web Token(JWT)技术来实现这一功能。SpringBoot以其简洁的配置和强大的依赖管理深受开发者喜爱,而JWT则是一种轻量级的安全认证标准,适用于分布式系统的身份验证。 首先,理解...
Springboot 整合 JWT + Redis 实现双Token 校验Demo
11-23
本教程将详细解释如何整合Spring Boot与JWT(JSON Web Token)以及Redis来实现双Token校验,确保用户会话的安全性和效率。 首先,JWT是一种轻量级的身份验证机制,它允许服务器通过生成一个包含必要信息的令牌(如...
使用 JWT(JSON Web 令牌)实现登录身份验证和令牌续订
12-29
JSON Web 令牌(JWT)是一种安全的身份验证机制,它允许应用程序在用户登录后发送一个包含用户信息的令牌,而不是依赖于传统的服务器会话。JWT在客户端(如浏览器的localStorage或cookie)存储,使得用户状态可以在...
每次请求刷新token的时间
悢七的CSDN博客
06-28 2614
项目为springboot+vue前后端分离式 操作者在header携带token对后台进行请求token有效期为30分钟。现需要实现:30分钟内操作者每次操作都将重新计时。 完全使用localStorage解决该问题。 在前端请求拦截器(request)配置 // request拦截器 service.interceptors.request.use(config => { if(localStorage.getItem('token')!==null) { //刷新t
Springboot+Axios双token解决token过期续签问题
huang714的专栏
11-10 3141
Springboot+Axios双token解决token过期续签问题
jwt token 过期刷新_替换JWT
@涂涂博客
09-15 2529
问题: 为了安全,很多人都知道token长期保持不变不安全,通常会采取刷新token的机制。当是当下,很多刷新机制是为了刷新刷新,常见的token刷新机制是:到期后刷新,或是提前刷新,或者定时刷新。如果token被盗,黑客和合法用户都可以通过刷新来获取新的token,这并没带来实际的安全提升。: 方案: 每个token有一个较长的有效期,比如90天,这个是为了满足长期登录的需求; 每个token有一个较短的刷新间隔,比如2个小时。常常更换token 提升安全性; 每当token刷新时,创建并颁
关于 Token 过期问题的两种解决方案
热门推荐
m0_65812066的博客
01-06 3万+
手动更新token。拿到最新的token值后再重新发起刚刚因token过期的请求。2.refresh_token也有过期的时候,这时只能强行让用户自己重新登入了。手动更新token。拿到最新的token值后再跳回之前浏览的页面。时候,我们自己手动添加请求头为refresh_token。注意:1. 在请求响应器中做判断在非。请求头配置token,而。
JWT token过期后自动续期的解决方案
leeta的博客
08-20 3396
在文中给出的例子中,仅实现了登录认证,但是并没有设置token的过期时间,在实际应用中,token一般都需要设置过期时间。 如何设置token的过期时间 前文《Java面试常见问题:JWT是什么?》介绍过,JWT token的payload部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。 JWT标准里面定义的标准claim包括: iss(Issuser):JWT的签发主体; sub(Subject):JWT的所有者; aud(Audience):JWT的接..
sa-token-quick-login怎么使用我数据库的用户跟密码登陆,我需要一个案例
05-27
使用 sa-token-quick-login 实现数据库用户登录的具体步骤如下: 1. 引入 sa-token 依赖 在 Maven 项目中,你需要在 pom.xml 文件中引入 sa-token 的依赖: ```xml <dependency> <groupId>cn.dev33.satoken</groupId> <artifactId>sa-token-starter-core</artifactId> <version>${sa-token.version}</version> </dependency> ``` 其中,${sa-token.version} 是 sa-token 的版本号。 2. 配置 sa-token 在 Spring Boot 项目中,你需要在 application.yml 或 application.properties 文件中配置 sa-token 的相关信息,例如: ```yaml # 配置 sa-token sa-token: # 开启 sa-token enable: true # 配置密码加密秘钥 pwdEncryptSalt: your_salt_here # 配置登录token 名称 tokenName: your_token_name_here ``` 3. 实现登录接口 在 Spring Boot 中,你可以使用 @PostMapping 注解实现登录接口,例如: ```java @RestController public class LoginController { @PostMapping("/login") public String login(String username, String password) { // 根据用户名和密码查询数据库,如果存在则返回用户信息,否则返回 null User user = userRepository.findByUsernameAndPassword(username, password); if (user == null) { // 用户名或密码错误,返回错误信息 return "用户名或密码错误"; } else { // 用户名和密码正确,生成 token 并返回 return SaTokenManager.createToken(user.getId()); } } } ``` 在这个例子中,我们使用 @PostMapping 注解定义了一个 /login 接口,接收用户名和密码作为参数。我们在接口中查询数据库,如果用户名和密码匹配,则生成 token 并返回;否则返回错误信息。 4. 配置 sa-token-quick-login 在 Spring Boot 中,你可以使用 @Configuration 注解实现 sa-token-quick-login 的配置,例如: ```java @Configuration public class SaTokenConfig { @Autowired private SaTokenProperties saTokenProperties; @Bean public SaTokenQuickLogin saTokenQuickLogin() { return new SaTokenQuickLogin() { @Override public Object doLogin(String loginKey) { // 在这里实现登录逻辑 String[] arr = loginKey.split(":"); String username = arr[0]; String password = arr[1]; // 根据用户名和密码查询数据库,如果存在则返回用户信息,否则返回 null User user = userRepository.findByUsernameAndPassword(username, password); if (user == null) { // 用户名或密码错误,返回 null return null; } else { // 用户名和密码正确,返回用户对象 return user; } } @Override public String getLoginKey(Object user) { // 在这里实现获取登录 key 的逻辑,例如:使用用户名和密码拼接 User u = (User) user; return u.getUsername() + ":" + u.getPassword(); } }; } } ``` 在这个例子中,我们使用 @Configuration 注解定义了一个 SaTokenConfig 类,实现了 SaTokenQuickLogin 接口。我们在 doLogin 方法中实现了数据库登录逻辑,如果登录成功,则返回用户对象;否则返回 null。在 getLoginKey 方法中,我们使用用户名和密码拼接作为登录 key。 5. 在前端页面中调用登录接口 在前端页面中,你可以使用 JavaScript 调用登录接口,例如: ```javascript fetch('/login', { method: 'POST', body: JSON.stringify({ username: 'myusername', password: 'mypassword' }), headers: { 'Content-Type': 'application/json' } }) .then(response => response.text()) .then(token => { // 登录成功,保存 token 到 localStorage 中 localStorage.setItem('token', token); }); ``` 在这个例子中,我们使用 fetch 函数发送 POST 请求到 /login 接口,传递用户名和密码。如果登录成功,后端将返回一个 token 字符串,我们在前端页面中使用 JavaScript 处理这个 token 字符串,保存到 localStorage 中,以便后续使用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值