APP使用token和refreshToken实现接口身份认证,保持登录状态

最新推荐文章于 2024-08-07 08:30:00 发布
最新推荐文章于 2024-08-07 08:30:00 发布
阅读量1.1w 收藏 46
点赞数 8
分类专栏: # 基础(非框架) 文章标签: token refreshToken
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Paulangsky/article/details/95048410
版权

目录

一.问题

二.实现思路

三.遇到的坑

1.同一用户并发刷新Token

2.服务端已经产生了新的Token后,但并发过来的请求还在用老的Token请求数据

四.附件 

一.问题

App 安装后,第一次启动时需要登录(在某些页面提示需要登录或者直接启动在登录界面)。而只要登录成功后,就不需要每次启动时再次登录。不过,当你的 App 长期未启动,再次启动时,就需要登录。这个是怎么实现的?App 又是怎么保持登录状态的?

二.实现思路

客户端在登录的时候带上设备的设备号、appId,并将其作为参数传递到服务端。服务端收到参数后,使用特定的算法(例如:AES加密算法)生成Token和refreshToken,返回给客户端,并且保存到redis缓存数据库中。服务端redis缓存数据库中的Token和refreshToken设置超时时长,refreshToken超时时长大于Token超时时长,超时自动清除。客户端后面每次发起网络请求时服务端都要统一拦截,先取出redis缓存数据库中该用户对应的Token,和客户端传递的Token进行比较,如果有而且匹配则放行,如果超时没有了,客户端则带上refreshToken调用Token刷新接口重新刷新Token和refreshToken,刷新失败则进行登录认证过程。

1、客户端使用用户名跟密码请求登录,并带上设备序列号、appId;

2、服务端收到请求,去验证用户名与密码;

3、验证成功后,服务端会签发一个Token和一个refreshToken;

4、客户端收到Token和refreshToken以后必须把它们存储起来,比如放在Cookie里或者Local Storage里;

5、客户端每次向服务端请求数据的时候需要带着服务端签发的Token;

6、服务端收到请求,就去验证请求里面带着的Token,如果验证成功,就向客户端返回请求的数据;

7、客户端向服务端请求数据的时候如果Token超时,就带上refreshToken,重新调用Token刷新接口,获取新的Token和refreshToken;

8、服务端收到刷新Token请求,就去验证请求里面带着的refreshToken,如果验证成功,就向客户端返回新的Token和refreshToken,客户端用新的Token请求数据;

9、如果刷新Token失败,则重新发起登录流程。

三.遇到的坑

1.同一用户并发刷新Token

由于客户端一般都是多个接口并发请求数据,当Token超时后,服务端要求客户端刷新Token,这时候客户端会多个请求并发刷新Token。当第一个接口刷新Token成功后,服务端的Token和refreshToken都发生了改变,导致后面的刷新请求验证refreshToken不通过,从而刷新失败。

解决方法:

1.客户端控制同时只有一个接口刷新Token;

2.服务端在刷新Token的时候,只产生新的Token,refreshToken值不变,只做延时;

3.服务端产生新的Token和refreshToken,但同时保存上一个老的refreshToken,新的refreshToken和老的refreshToken在设定时间内都生效。

2.服务端已经产生了新的Token后,但并发过来的请求还在用老的Token请求数据

解决方法:

1.服务端一律返回需要刷新,让客户端调用刷新接口。

四.附件 

 https://download.csdn.net/download/paulangsky/11295578

 

E%3Dmc%B2
关注
专栏目录
android token加密_android之Token保持登录状态
weixin_39633500的博客
01-13 507
Token是什么?Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。Token的引入Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Tok...
接口使用jwt返回token_Thinkphp5中使用JWT Token登陆接口验证完整使用详解
weixin_42502122的博客
01-12 1033
JWT 全称 JSON Web Tokens ,是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。它的两大使用场景是:认证和数据交换。一、JWT的优点1、服务端不需要保存传统会话信息,没有跨域传输问题,减小服务器开销。2、jwt构成简单,占用很少的字节,便于传输。3、json格式通用,不同语言之间都可以使用。二、使用JWT进行用户登录鉴权的流程① 用户使用用...
tokenrefreshtoken
LINDYING的博客
05-11 1502
tokenrefreshtoken
APP使用tokenrefreshToken实现保持登录状态.vsdx
07-16
App使用TokenRefreshToken 完成登录认证接口保持登录状态。 这是使用TokenRefreshToken的流程图。
Token设计:Access TokenRefresh Token
最新发布
常备不懈
08-07 907
在现代Web应用中,身份验证和授权是确保安全性的关键部分。Access TokenRefresh Token是用于这一过程的重要组件。
APP使用tokenrefreshToken实现接口身份认证保持登录状态.vsdx
07-08
APP使用tokenrefreshToken实现接口身份认证保持登录状态
TokenRefresh Token
weixin_44153131的博客
02-14 3546
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录
关于tokenrefresh token
热门推荐
weixin_41282397的博客
08-21 1万+
0x01. refresh token 的意义 传统的认证方式一般采用cookie/session来实现,这是我们的出发点。 1.为什么选用token而不选用cookie/session? 本质上token和cookie/session都是字符串,然而token是自带加密算法和用户信息(比如用户id),;而cookie本身不包含用户信息,它指向的是服务器上用户的 session,而由sessi...
app tokenrefreshtoken
05-08
App tokenrefresh token是现今很多应用都会使用的授权机制。 在用户进行OAuth验证授权时,一般会经过三个步骤,即:App向OAuth Server进行申请,用户登录OAuth Server并授权,OAuth Server返回Access TokenApp...
auth-code获取access-tokenrefresh-token-0620版本
09-01
已将py文件打包成exe文件,方便使用,源代码可参考博文第二章 第一章 巨量千川M-api获取access_tokenrefresh_token,只需要输入APP_ID,secret,以及从回调链接的显示的auth_code即可获取到access_tokenrefresh_...
Android使用token维持登陆状态的方法
01-04
什么是token token(令牌)是一串唯一的字符串,通常由服务端生成,在注册完成时返回给客户端,用来标识此用户,客户端将此字符串存储在本地。在以后的网络请求时,客户端先查询本地的token,如果有则直接使用此令牌进行网络请求,没有则提示未登录,转到登陆注册界面。 此外,还可以在服务端或者客户端添加过期判别机制。 token的作用 token可以显著减少服务端对用户表的查询,同时使用户不必每次都登陆,提高了系统的可用性与健壮性。 使用SharedPreferences保存token 获取token并保存 NetWorks.regPost(user, password, email, t
Oauth2.0(三):Access TokenRefresh Token
05-23 719
  access token 是客户端访问资源服务器的令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是临时的,有一定有效期。这是因为,access token使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access token 泄露而带来的风险。   然而引入了有效期之后,客户端使用起来就不那么方便了。每当 access tok...
Access TokenRefresh Token
daobuxinzi的博客
02-09 3121
  access token 是在 Oauth2.0 协议中,客户端访问资源服务器的令牌(其实就是一段全局唯一的随机字符串)。拥有这个令牌代表着得到用户的授权。它里面包含哪些信息呢?答案是:   哪个用户 在什么时候 授权给哪个客户端 去做什么事情   对于 Oauth2.0 不了解的读者,请看我的另一篇文章:简单介绍 Oauth2.0 原理   这个授权是临时的,有一定有效期。这是因为,access token使用的过程中可能会泄露。给 access token 限定一个...
ACCESS_TOKEN与FRESH_TOKEN
dskwe的专栏
01-10 9465
OAuth1.0中的access_token过期时间通常很长,安全性差。于是OAuth2.0推出了refresh_token。OAuth2.0中,客户端用账户名,密码经过一定方式(比如先请求code),获得ACCESS_TOKEN,expire_in与refresh_token。 然后在expire_in到期的时候,通过refresh_token获得新的access_token,expire_in
TokenRefreshToken
weixin_34209406的博客
04-25 168
为什么80%的码农都做不了架构师?>>> ...
access_token VS refresh_token
RayPick的博客
11-29 6412
众所周知, 在 OAuth 2.0 授权协议中, 有两个令牌 token , 分别是 access_tokenrefresh_token, 为什么已经有了 access_token, 还需要 refresh_token 呢? 我们先看下面两者的介绍 access_token 访问令牌, 它是一个用来访问受保护资源的凭证 refresh_token 刷新令牌, 它是一个用来获取access token的凭证 下面是 OAuth 2.0 中的 token 工作流程图 回归主题, 这两个令牌的主要区别如下
访问令牌(AccessToken)与刷新令牌(RefreshToken
昨夜丶雨疏风骤的博客
05-15 1万+
源码点我 闲着无聊的我又来了,今天介绍一下访问令牌(AccessToken)与刷新令牌(RefreshToken)。 最近公司来了几个Java,然后空气顿时充满了学术的氛围,每天都弥漫着垃圾回收,内存分配,堆栈等等各种技术问题的讨论,竖起了我的小耳朵,我偶然间听到了这个Token过期的问题,今天来说一说。 众所周知,JWT是我们常用的Token类型之一,但是JWT是无状态的,所有的信息,包括超时时间都会编码在JWT中。如果Token设置的超时时间过长会显得有些不安全,如果设置的过短则必须频繁的登录。 在Id
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

E%3Dmc%B2

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值