关于refresh token的总结

最新推荐文章于 2024-05-27 09:14:16 发布
最新推荐文章于 2024-05-27 09:14:16 发布
阅读量6.8k 收藏 27
点赞数 7
文章标签: 前端 javascript 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MPFLY/article/details/123199084
版权

这两天做项目,第一次做了刷新token的功能。

以前做的最多的是:用户登录,给一个固定的token,并且这个token有一个期限。如果该token过期。那么持有该token的用户再次发起请求时,将会收到拒绝,并且前端页面给出“您的登录已过期”的提示,并跳转至登录页面。用户只能重新输入账号密码进行登录,然后再继续进行刚刚的操作。

我们可以看到,不由分说地将已过期的用户退出登录,是不科学和不人性化的。那么如何做才能比较好的进行token的管理呢?

我们引入refresh_token,可以比较好的解决这个问题。

首先明确一个前提:access_tokenrefresh_token两者都各自有一个期限,

我们假设access_token的期限是1小时,refresh_token的期限是2小时。

access_token过期后,我们不会像之前一样,直接让该用户退出登录。而是转而判断该用户的refresh_token的期限是否也过期。

如果refresh_token也过期了,那么该用户即可退出登录。

如果没有过期,此时应再次发起一个刷新access_tokenrefresh_token的请求,该请求会返回2个新的token,2个新token又各自有1个小时和2个小时的期限。

我们前端在拿到新的access_tokenrefresh_token后,重新将存在cooies中的2个token进行更新,并使用新的access_token再次发起刚刚失败的请求。这样在用户没有感知的情况下,将用户的token进行了“更新换代”的操作。

比较核心的代码如下(vue项目,使用ElementUI):

// 重新获取token 并将未完成的请求继续完成
async function doRequest (error) {
  const data = await store.dispatch('user/refreshToken')
  if (data) {
    const { access_token } = data
    const config = error.response.config
    config.headers.Authorization = 'Bearer ' + access_token
    const res = await axios.request(config)
    return res
  }
}

  // token过期后 刷新token
  refreshToken({ commit }) {
    return new Promise((resolve, reject) => {
      const params = {
        grant_type: 'refresh_token',
        refresh_token: getRefreshToken()
      }
      axios({
        url: `${baseUrl}auth/oauth/token`,
        method: 'post',
        params: params,
        headers: {
          isToken: false,
          Authorization: 'Basic b2E6MQ=='
        }
      }).then(res => {
        const { data } = res
        commit('SET_TOKEN', data.access_token)
        commit('SET_REFRESH_TOKEN', data.refresh_token)
        setToken(data.access_token)
        setRefreshToken(data.refresh_token)
        resolve(data)
      }).catch(error => {
        MessageBox.alert('请重新登录!', '登录已过期', {
          confirmButtonText: '确定',
          type: 'warning',
          callback: action => {
            store.dispatch('user/resetToken').then(() => {
              location.reload()
            })
          }
        })
        reject(error)
      })
    })
  },
老米的世界
关注
  • 7
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
token身份验证,解决refresh_token多次刷新问题
m0_55141616的博客
11-02 1万+
基于Token的身份验证的基本过程如下: 1.用户通过用户名和密码发送请求。 2.服务器端程序验证。 3.服务器端程序返回一个带签名的token给客户端。 4.客户端储存token,并且每次访问都携带token到服务器端的。 5.服务端验证token,校验成功则返回请求数据,校验失败则返回错误码跳转重新登录。 使用refresh token的身份验证操作: 但是如果用户在正常操作的过程中,token过期失效了,要求用户重新登录,对用户的体验会很不好。 使用refresh token
accessTokenrefreshToken区别
Mr.绵羊的知识星球
09-01 2248
accessTokenrefreshToken关联和区别
在vue前端开发中基于refreshToken和axios拦截器实现token的无感刷新
最新发布
05-27 534
基本的思路是这样的,你也可以根据自己的业务需要,自己修改。比如抽离上面的方法或逻辑,单独封装。你也可以添加接口失败重连的逻辑。你也可以使用数据加密传输,例如sm4等。
TokenRefresh Token
weixin_44153131的博客
02-14 3196
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。
关于RefreshToken的介绍
weixin_63929524的博客
05-03 1716
客户端通常在请求中使用Token,当Token过期时,客户端将使用RefreshToken请求新的Token。服务器收到带有RefreshToken的请求时,将检查RefreshToken的有效性,并使用它来生成新的Token,同时返回新的Token和新的RefreshToken。通过上述步骤,我们就实现了双Token机制,可以减少用户Token过期重复登录问题,并且可以在Token过期时自动刷新Token,避免了客户端频繁反复请求的情况。首先,我们需要明确什么是Token,以及为什么需要使用Token
tokenrefresh token
luminita_的博客
10-09 5356
最近一段时间新接手一个项目,第一次听说refresh token,下面谈谈我自己的理解。 首先,什么是token? 什么是refresh token?两者之间有什么关系? 1.token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 2.refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口,我们传入Refresh_t
refresh token作用与使用方式vue2.0
m0_56683897的博客
07-21 1095
通常情况来说,token失效会设计两种情况:1.token在浏览器储存时间过长,过期失效;2.同一个账号只能在一个浏览器登录存储token,在其他浏览器登陆上一个浏览器的账号会被抢占下线。由于不停的更新token,对于浏览器来讲,负载是非常大的,对于用户来说,体验感也不好,试想使用手机时,每隔10分钟锁一次屏,所以我们用到另个一保存token状态的refresh token,来保持token的有效性。
用vuex对token/refresh_token 进行管理以及处理token过期问题
m0_49515138的博客
11-17 3241
就是用户在进入白名单页面时,比如说首页或者其他不需要个人信息页面时,是不需要登录的,如果在没有登录的情况下,想要进入类似于个人中心,会员中心这种页面时,那么就需要让用户去登录页面登录一下,登录完成之后再返回刚刚要去的个人中心页面,这时候就是在路由跳转的时候,带上刚刚页面的路由路径,可以在登录完成之后原路返回。非但必须有个过期时间,而且过期时间还不能太长,那么重新获取有两种方式,一是重复第一次获取token的过程(比如登录,扫描授权等) ,这样做的缺点是用户体验不好,每一小时强制登录一次几乎是无法忍受的。
APP使用tokenrefreshToken实现接口身份认证,保持登录状态.vsdx
07-08
APP使用tokenrefreshToken实现接口身份认证,保持登录状态
基于acess_tokenrefresh_token实现token续签
03-19
总结,基于acess_tokenrefresh_token的续签机制提供了一种平衡安全性和用户体验的方式。它允许用户在不重新输入凭证的情况下保持会话活跃,同时限制了令牌被盗用的风险。在实际应用中,开发者应根据应用的具体需求...
vue中前端利用refreshToken结合axios拦截器实现token的无感刷新
01-16
1、首次登录的时候会获取到两个token(AccessTokenRefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的时候携带AccessToken。 4、当接口口返回401权限错误时,使用RefreshToken请求...
springSecurity-jwt:JWT access_tokenrefresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessTokenRefreshToken) version1太复杂,无法优化。accessToken refreshToken流安全登录处理流程详细说明转到博客文章JWT异常处理安全异常处理(AuthenticationEntryPoint,...
APP使用tokenrefreshToken实现保持登录状态.vsdx
07-16
App使用TokenRefreshToken 完成登录认证接口,保持登录状态。 这是使用TokenRefreshToken的流程图。
Spring Security OAuth2源码解析(一)
demon7552003的小本本
08-07 1055
目录 引入 AuthorizationServerEndpointsConfiguration 属性 AuthorizationEndpoint OAuth2RequestFactory DefaultOAuth2RequestFactory TokenEndpoint TokenGranter AuthorizationServerTokenServices DefaultTokenServices TokenStore AuthorizationServerSecu...
解决Shiro jwt并发刷新token问题
热门推荐
大爱仙尊
05-02 2万+
使用shiro jwt做应用系统的权限校验,网上通用的方式是这样的。 在用户登录时候会生成两份token,一份AccessToken用于返回给前端前端带上这个令牌去请求后台接口,通常过期时间较短5分钟左右,一份RefreshToken放在Redis中,两个Token的加密值都是当前时间戳,当用户的AccessToken过期时,就去从Redis中通过用户名取得Redis中的RefreshToken,比较AccessTokenRefreshToken中的时间戳是否一致,如果一致就重新生成一...
Refresh Token 机制 C# 完整的示例代码
秋枫苦雪 blog
07-05 1205
写这个代码,写了很久。 实际上,项目上很难用到这么复杂的 Token 机制。贴在这里,回向给十方三世的程序员吧。 using PortalCore; using SqlServerModels.舍利弗; using System; using System.Threading.Tasks; namespace TokenCore { /// <summary> /// 专家模式:会重新颁发一个会话。 /// 普通模式:会话永远有效,并不重新颁发。除非失效,或者...
C# 鉴权授权学习总结
qq_38192821的博客
05-10 1257
Session/Cookie,JWT,OAuth2.0。
OAuth 2.0 中的 refresh_token 和它的重要性
禅与计算机程序设计艺术
12-27 1287
1.背景介绍 OAuth 2.0 是一种授权机制,它允许第三方应用程序访问用户的资源,而无需获取用户的凭据。这种机制通常用于在网络上进行身份验证和授权。在 OAuth 2.0 中,refreshtoken 是一种特殊类型的访问令牌,用于在访问令牌过期之前重新获得新的访问令牌。在本文中,我们将讨论 refreshtoken 的重要性,以及如何在 OAuth 2.0 中实现它。 2.核心概念与联系...
JWT单点登录源码分析
qq_35219329的博客
10-12 7818
目录 前言 一、创建token 二、验证token 总结 前言 JWT在创建的token由header、payload和signature三部分组成,每一部分使用"."分隔,其中header中存储加密的模型,payload中存储需要传输的信息和过期时间等,signature中存储加密后的字符串,使用base64编码提高安全性。在校验的时候也是根据上述规则进行分割,分别进行校验。 一、创建token 在项目中,我们通过调用JWT.create.sign()方...
tokenrefreshtoken
11-10
tokenrefresh token是OAuth2.0授权机制中的两个重要概念。Token是在用户授权后由授权服务器颁发的访问令牌,用于保护用户数据的安全。Refresh Token是用于获取新的Token的令牌,当Token过期时,可以使用Refresh ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值