后端双token登陆快速入门:双token实现登陆,判断登陆过期

已于 2024-04-14 15:23:42 修改
阅读量5.3k 收藏 45
点赞数 42
文章标签: java spring boot 后端 架构
于 2024-04-14 15:11:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Old_Secretary/article/details/137745536
版权

双token验证登陆过期

JWT

不了解token或者JWT的可以先看这里JWT 基础概念详解 | JavaGuide,了解后可以直接跳过这一部分

简单来说,Token是用来鉴别用户身份的令牌,JWT是JSON Web Token一种规范化之后的 JSON 结构的 Token。

JWT 本质上就是一组字串,通过(.)切分成三个为 Base64 编码的部分:

JWT通常长这样子:xxxxx.yyyyy.zzzzz

示例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

JWT在加密之前是json格式的,加密后才变得如此抽象,用.分割的三部分在加密前都是JSON格式的数据,分别如下:

  • Header : 描述 JWT 的元数据,定义了生成签名的算法以及 Token 的类型
  • Payload : 用来存放实际需要传递的数据。其中我认为最主要的两个字段:sub字段存储想要保存的信息,exp字段保存该JWT的过期时间
  • Signature(签名):服务器通过 Payload、Header 和一个密钥(Secret)使用 Header 里面指定的签名算法(默认是 HMAC SHA256)生成。

而服务器端通过加密算法生成JWT,并将诸如用户ID,用户权限等信息放入Payload的sub字段,前端调用后端接口时把token作为参数(一般以http头的形式)传给后端,后端解析后得知调用这个参数的用户是哪一个,由此做出相应的响应。

为什么要使用双token

由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长:

  • 当用户信息发生更改时,token中的信息无法及时更改
  • 增加token中信息泄露的风险

然而token过期时间短的话,用户需要不停登陆,体验较差

解决方案:使用双token验证登陆过期:

  • 一个accessToken,过期时间较短,储存用户信息权限等
  • 一个refreshToken,过期时间较长,不储存额外信息,只储存用户id

双token运作流程

  1. 前端请求登录/注册接口后后端会返回accessToken和refreshToken
  2. 请求需要登录的接口时,在请求头携带accessToken,key为“Authorization”,value为accessToken的值
  3. 后端首先验证accessToken是否过期,没过期就正常处理请求、返回结果;过期就返回errCode=409,errDesc="用户未登录"的结果
  4. 前端如果接收到了上述过期的结果,需要不携带任何请求头请求/api/user/refreshToken接口,传入参数refreshToken=“xxxx”。
  5. 如果refreshToken没过期,后端会返回新的accessToken和refreshToken,此时前端可以用拿到的新的accessToken重新请求登陆接口
  6. 如果refreshToken也过期了,/api/user/refreshToken接口同样会返回errCode=409,errDesc="用户未登录"的结果,此时前端需要提示用户长时间未操作,需要重新登陆(这次登陆不携带token,需要用户输入账号密码等方式登陆)

这个流程需要前端配合:

  • 登陆接口收到409的响应后,需要请求/api/user/refreshToken接口
  • /api/user/refreshToken接口返回新的accessToken后需要重新请求登陆接口
  • /api/user/refreshToken接口返回409后需要跳转到登陆界面

后端双token代码:

JwtUtil.java:

JWT工具类,可以直接照搬使用

package com.neu.deliveryPlatform.util;

/**
 * @Author laobuzhang
 * @Description: jwt工具类,通过UUID算法生成JWT的id,通过subject参数将要储存的信息放在jwt的sub字段中
 */

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;
import java.util.Date;
import java.util.UUID;

/**
 * JWT工具类
 */
public class JwtUtil {
   

    //有效期为
    public static final Long JWT_TTL = 60 * 60 * 24 * 1000L;//  一天
    //设置秘钥明文
    public static final String JWT_KEY = "BuXiWanGongZuoShi";

    public static String getUUID() {
   
        String token = UUID.randomUUID().toString().replaceAll(
最低0.47元/天 解锁文章
laobuzhang
关注
token校验机制
marko_zheng的博客
11-15 1万+
token校验机制 什么是token token是客户端登陆的时候由服务端生成,之后每次请求都需要携带token进行请求。校验用户身份呢的作用 为什么使用token 减少敏感信息的传递 可以校验用户身份的准确性以及有效期 单token登录流程以及请求校验流程 注意 token是使用base64的形式进行加密的 是有一部分存储在客户端中,所以,token中不建议存放敏感信息 token校验机制 场景设想: ​ 用户正在app或者应用中操作 token突然过期,此时用户不得不返回登陆界面,重新进行一
手把手教你入门vue+springboot开发(十二)--无感token后端实现
dreamflyly的博客
08-10 819
上一篇我们详细解读了token实现,有一个问题:如果token过期失效时间设置过长,安全性得不到保障;如果token过期失效时间设置过短,会经常需要重新登录来获取新的token,用户体验很差。为了解决这个问题,一个常用的做法就是无感刷新token,那么如何实现无感刷新token呢?
Token 认证机制详解——原理、实现及代码示例
m0_61786208的博客
02-21 1188
适用于短期访问,过期后需要使用获取新 Token。只应存储在服务器端,避免暴露给前端。 Token 认证提供更高的安全性,同时减少用户的重复登录,提高体验。这种方式广泛应用于现代 Web 开发,尤其是 SPA(单页应用)、移动应用和微服务架构中。如果你的系统需要更高的安全性,建议结合Redis 或数据库存储 Refresh Token以便进行主动撤销。
Token 机制的原理
weixin_64317904的博客
02-13 943
Token 机制通过和的组合,解决了单 Token 机制中过期时间设置的矛盾问题,既保证了安全性,又提升了用户体验。实际项目中,需要前后端密切配合,确保流程的顺畅和安全。
Token机制解析与作用
最新发布
Sumo9的博客
03-17 568
Token是一种身份验证机制,通常用于增强安全性或优化用户体验。访问令牌(Access Token):短有效期的令牌,用于直接访问受保护的资源(如 API、用户数据等)。刷新令牌(Refresh Token):长有效期的令牌,用于在访问令牌过期后,通过安全的方式获取新的访问令牌,而无需用户重新登录。
token登录
qq_60893085的博客
09-28 462
这提高了系统的安全性。降低对资源服务器的负载: 由于AccessToken的有效期较短,资源服务器(通常是后端服务器)需要验证AccessToken的有效性。使用RefreshToken可以减少对资源服务器的请求次数,因为AccessToken过期后不需要每次都请求资源服务器进行验证,只需使用RefreshToken获取新的AccessToken即可。Token 刷新: 在前文提到的身份验证和令牌管理方案中,响应拦截器可以用于检查令牌的有效性,如果令牌过期,它可以自动请求新的令牌,并重新发送之前的请求。
用户登录设计之token设计
CRMEB小程序商城的博客
12-02 5295
背景 笔者在做的一个项目之前的登录接口是实习生写的,登录设计就是简单的提交用户名密码获取token,然后token过期时间巨长是30天,于是乎另一位工作年限长一点的同事修改了代码,变成了登录获取两个token: 1.accessToken: 真正用来获取数据的权限 2.refreshToken: 用来获取accessToken 为什么需要token? 总所周知,token是为了防止用户信息传来传去导致被劫持,但是假如token没有过期时间或者过期很长,那么显然token被劫持还是不安全的,token
Token实现登录升级
zpab115的博客
06-15 933
用户在客户端输入用户名和密码,然后将这些信息发送给服务器。服务器接收到请求后,会首先验证用户提供的用户名和密码是否正确。如果服务器验证用户信息正确,会采用一个签名算法(比如HMAC SHA256或RSA)结合一个只有服务器知道的密钥,生成JWT。JWT的载荷(Payload)部分通常会包含用户的一些信息,例如用户ID,以标识用户身份。服务器将新生成的JWT在响应中返回给客户端。客户端在收到包含JWT的响应后,会把JWT存储在本地,比如说保存进Cookie或者localStorage。
JWT令牌(token实现登录验证
weixin_43973161的博客
09-23 7624
就是在登陆操作之后由服务端返回两个token:accessToken和refreshToken,在之后的验证登录态的操作中使用这两个token进行验证,其中accessToken过期时间相当短,refreshToken过期时间相对于accessToken而言相当长,且会不断的刷新。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
怎么样判断accesstoken是否过期
pengfeifei26的专栏
12-24 7504
用code去换取token的时候,会返回三个参数:现在的accesstoken的有效期是一个月,refreshtoken的有效期是两个月,expirein是过期时间(生命期,从获得的时刻起的剩余有效时间,以秒为单位);第一次登陆的时候需要和用户的人人uid一起与网站uid关联起来,还需要保存accesstoken的获取时间,以后调接口发新鲜事的时候先判断一下accesstoken是否过期,算法:现...
(如何获取微信access_token)node.js后端koa获取微信access_token详细步骤流程(系列三)
laimaodashuaige的博客
12-21 1179
node.js后端koa获取微信access_token详细步骤流程 1.新建文件名为:getAccessToken.js 2.在小程序后台-点击开发选项获取appid和appsecret 3.代码如下: const appid='输入你自己小程序的appid' const appsecret='输入你自己小程序的appsecret' const URL=`https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&a.
手把手教你入门vue+springboot开发(十三)--无感token前端实现
dreamflyly的博客
08-19 905
上一篇我们研究了无感token刷新的实现方案以及后端代码实现,本篇我们将详细研究一下前端代码实现,前端代码实现过程中也有很多细节的地方需要注意,重点要关注前端代码编码过程中的业务逻辑处理。
Sa-Token 轻松入门
呜啦啦啦啦
08-17 2166
**Sa-Token** 是一个轻量级 Java 权限认证框架,主要解决:**登录认证**、**权限认证**、**单点登录**、**OAuth2.0**、**分布式Session会话**、**微服务网关鉴权** 等一系列权限相关问题。
后端配置Token
m0_69872314的博客
04-18 1081
好!
token登录无感刷新
qq_46606917的博客
03-27 1175
token登录
登录生成token的理解
m0_64479814的博客
04-21 5724
token机制是为了提高系统安全性而采用的一种措施。它指的是在登录成功后,会生成两个token返回给客户端::用于访问受限资源,有一定的生命周期,过期需要重新获取。:用于刷新Access Token,生命周期较长。
12.(后端)token基本原理与实现流程简易概括(一看就懂)
m0_63953077的博客
10-11 1791
token基本原理与实现流程简易概括(一看就懂)
响应拦截器作用:
weixin_55633731的博客
06-15 3129
响应拦截器的作用是在接收到响应后进行一些操作,例如在服务器返回登录状态失效,需要重新登录的时候,跳转到登录页。就是在请求结果返回后,先不直接导出,而是先对响应码等等进行处理,处理好后再导出给页面,如果将这个对响应码的处理过程抽出来,就成了所谓的响应拦截器; ...
OAuth 2实战代码库快速入门与实践
- 隐藏式(Implicit):适用于没有后端的纯前端应用,直接通过浏览器重定向获取令牌。 - 密码凭证(Resource Owner Password Credentials):适用于可信客户端,通常用于设备上的原生应用。 - 客户端凭证(Client...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值