45.双token无感熟悉以及解决sso单点登录限制

已于 2024-03-10 16:44:56 修改
阅读量1.6k 收藏 22
点赞数 20
分类专栏: go 文章标签: golang
于 2023-11-30 23:07:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouMing_Li/article/details/134723446
版权

文章目录

上文已经介绍了jwt的基本原理和用法,44.jwt在go中的使用及原理(一),本文将介绍双token机制,以及sso单点登录

一、双Token机制

基于token安全性的处理 access token 和 refresh token

以下access token简称 atokenrefresh token 简称 rtoken。无感刷新方式。

在用户登录的时候颁发两个tokenatoken rtokenatoken 的有效期很短,根据业务实际需求可以自定义。一般设置为10分钟足够。rtoken有效期较长,一般可以设置为一星期或者一个月,根据实际业务需求可以自行定义。(根据查询资料得知 rtoken需要进行client-sercet才能有效)。当atoken过期之后可以通过rtoken进行刷新,但是rtoken过期之后,只能重新登录来获取。

atoken丢失之后没关系,因为它有效期很短。当rtoken丢失之后也没关系,因为他需要配合client-sercet才能使用。

在生成token时,我们一次生成两个token,atoken用于认证,会包含有用户相关信息,如UserID,Username等, 而rtoken不会保存用户信息,专门用于刷新atoken

// GenToken 颁发token access token 和 refresh token
func GenToken(UserID int64, Username string) (atoken, rtoken string, err error) {
	rc := jwt.RegisteredClaims{
		ExpiresAt: getJWTTime(ATokenExpiredDuration),
		Issuer:    TokenIssuer,
	}
	at := MyClaim{
		UserID,
		Username,
		rc,
	}
	atoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, at).SignedString(mySecret)

	// refresh token 不需要保存任何用户信息
	rt := rc
	rt.ExpiresAt = getJWTTime(RTokenExpiredDuration)
	rtoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, rt).SignedString(mySecret)
	return
}

在验证用户登录之后,根据传入的UserIDUsername ,生成atokenrtoken。在颁发token中可以分别规定两个token的过期时间

校验token

// VerifyToken 验证Token
func VerifyToken(tokenID string) (*MyClaim, error) {
	var myc = new(MyClaim)
	token, err := jwt.ParseWithClaims(tokenID, myc, keyFunc)
	if err != nil {
		return nil, err
	}
	if !token.Valid {
		return nil, ErrorInvalidToken
	}

	return myc, nil
}

根据传入的token值来判断是否有错误,如果错误为无效,说明token格式不正确或者token已经过期。

无感刷新token

首先校验rtoken是否还有效,rtoken有效的情况下继续校验atoken是否是因为过期导致的失效,是的话可以刷新atoken然后返回给前端。

// RefreshToken 通过 refresh token 刷新 atoken
func RefreshToken(atoken, rtoken string) (newAtoken, newRtoken string, err error) {
	// rtoken 无效直接返回
	if _, err = jwt.Parse(rtoken, keyFunc); err != nil {
		return
	}
	// 从旧access token 中解析出claims数据
	var claim MyClaim
	_, err = jwt.ParseWithClaims(atoken, &claim, keyFunc)
	// 判断错误是不是因为access token 正常过期导致的
	v, _ := err.(*jwt.ValidationError)
	if v.Errors == jwt.ValidationErrorExpired {
		return GenToken(claim.UserID, claim.Username)
	}
	return
}

完整代码

package main

import (
	"errors"
	"time"

	"github.com/golang-jwt/jwt/v4"
)

const (
	ATokenExpiredDuration  = 10 * time.Minute
	RTokenExpiredDuration  = 30 * 24 * time.Hour
	TokenIssuer            = ""
)

var (
	mySecret          = []byte("xxxx")
	ErrorInvalidToken = errors.New("verify Token Failed")
)

type MyClaim struct {
	UserID   int64  `json:"user_id"`
	Username string `json:"username"`
	jwt.RegisteredClaims
}

func getJWTTime(t time.Duration) *jwt.NumericDate {
	return jwt.NewNumericDate(time.Now().Add(t))
}

func keyFunc(token *jwt.Token) (interface{}, error) {
	return mySecret, nil
}

// GenToken 颁发token access token 和 refresh token
func GenToken(UserID int64, Username string) (atoken, rtoken string, err error) {
	rc := jwt.RegisteredClaims{
		ExpiresAt: getJWTTime(ATokenExpiredDuration),
		Issuer:    TokenIssuer,
	}
	at := MyClaim{
		UserID,
		Username,
		rc,
	}
	atoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, at).SignedString(mySecret)

	// refresh token 不需要保存任何用户信息
	rt := rc
	rt.ExpiresAt = getJWTTime(RTokenExpiredDuration)
	rtoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, rt).SignedString(mySecret)
	return
}

// VerifyToken 验证Token
func VerifyToken(tokenID string) (*MyClaim, error) {
	var myc = new(MyClaim)
	token, err := jwt.ParseWithClaims(tokenID, myc, keyFunc)
	if err != nil {
		return nil, err
	}
	if !token.Valid {
		err = ErrorInvalidToken
		return nil, err
	}

	return myc, nil
}

// RefreshToken 通过 refresh token 刷新 atoken
func RefreshToken(atoken, rtoken string) (newAtoken, newRtoken string, err error) {
	// rtoken 无效直接返回
	if _, err = jwt.Parse(rtoken, keyFunc); err != nil {
		return
	}
	// 从旧access token 中解析出claims数据
	var claim MyClaim
	_, err = jwt.ParseWithClaims(atoken, &claim, keyFunc)
	// 判断错误是不是因为access token 正常过期导致的
	v, _ := err.(*jwt.ValidationError)
	if v.Errors == jwt.ValidationErrorExpired {
		return GenToken(claim.UserID, claim.Username)
	}
	return
}

二、双Token最佳实践

使用 JWT 实现的双令牌验证主要有以下几步:
在这里插入图片描述

  • 后端需要对外提供一个刷新Token的接口,前端需要是实现一个当Access Token过期时自动请求刷新Token接口获取新Access Token的拦截器。
  • 用户登录时,服务端同时生成并返回 access tokenrefresh token。其中,access token 的有效期较短,例如 10 分钟。而 refresh token 的有效期较长,例如 30 天。这两种 token 都可以用 jwt-go 生成。
  • 如果 refresh token 也过期了,那么客户端必须要重新登录,以获取新的 access tokenrefresh token

注意:在实际的生产环境中,为了保证系统的安全性,你可能需要考虑到以下几点:

  • Token也可以在服务端保存一份,比如存到Redis中,并对前端传来的tokenredis中的比较,这样可以实现服务端主动让token失效,比如从redis删除token即可。
  • 考虑到用户的session状态,当用户退出登录或者修改密码后,需要把保存在服务端的refresh token删除或者置为无效。
  • 应用 HTTPS 协议以保护你的 token 不被截获。
  • 使用黑名单机制,当用户的 token 被盗或者用户退出登录后,你可以把这个 token 添加到黑名单中,防止它再次被用于请求。
  • 考虑到服务的可用性,你可能需要把 token 保存在像Redis这样的内存数据库中,以提升性能。

以上是 JWT 双令牌验证的一种常见的最佳实践,但需要注意,不同的业务场景可能需要不同的安全策略,总是需要根据实际业务需求和环境来灵活调整。

三、SSO单点登录

SSO说明
SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。https://baike.baidu.com/item/SSO/3451380

例如访问在网易账号中心(http://reg.163.com/ )登录之,访问以下站点都是登录状态

  • 网易直播 http://v.163.com
  • 网易博客 http://blog.163.com
  • 网易花田 http://love.163.com
  • 网易考拉 https://www.kaola.com
  • 网易Lofter http://www.lofter.com

SSO设计可参考:单点登录(SSO)的设计与实现

百里守约学编程
关注
  • 20
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT之token机制token详解
qq_41634455的博客
01-13 1万+
token机制 何为tokentoken即为令牌,是服务器生成的一串字符串,作为客户端向服务器进行请求的“通行证”。在客户端进行初次登陆后由服务器返回,之后的每次请求只需要携带token进行请求即可,而无需携带密码等敏感信息 为何token token可以减少敏感信息在网络间的传递 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用 JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息 便于传输,jwt的构成非常简单
基于.Net的单点登录(SSO)实现解决方案
01-20
前些天一位朋友要我帮忙做一单点登录,其实这个概念早已耳熟能详,但实际应用很少,难得最近轻闲,于是决定通过本文来详细描述一个SSO解决方案,希望对大家有所帮助。SSO解决方案很多,但搜索结果令人大失所望,大...
面试问题6
qq_34526237的博客
02-13 482
面试问题
JWT和网关令牌登录验证
最新发布
lty1392309506的博客
04-18 316
使用JWT(JSON Web Token)和网关实现令牌登录验证是一种安全性较高的方案。令牌通常包括一个短期有效的访问令牌(access token)和一个长期有效的刷新令牌(refresh token)。
后端token登陆快速入门:token实现登陆,判断登陆过期
Old_Secretary的博客
04-14 1285
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用token解决。附带token流程和示例代码
ruoyi-cloud认证-token改造为token
r562253897的专栏
07-28 1101
Token在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。token一般是指access_token和refresh_token。至于为什么改造为token,以及token有哪些好处?...
token的认识
weixin_62122119的博客
06-29 463
token的存在 accessToken和refreshToken存在 acessToken存在周期较短,主要为refreshToken做铺垫,当token过期会不断的刷新token且每次的refreshToKen是会变的。基于token登录验证的情况下 1当你正在访问一个网页时 这时token过期那么你被下线重新登录,2特别是对于哪谢正常访问操作的网页app等的用户,过期时间到被下线,这就很智障,用户体验感极差;
为什么使用token实现无感刷新用户认证?
zxcvb0825的博客
01-15 1227
颁发Access Token & Refresh Token(当认证成功了以后,颁发两个内容,一个是Access Token 另一个 Refresh Token,Access Token是一个短期的token(比如几十分钟),Refresh Token是一个长期的token(比如可以设置几天或者更长的时间),这两个token都会返回客户端)----->:对与单token的认证机制在我们项目中仅使用一个Access Token的访问令牌进行用户身份认证和授权的方案处理。
token认证的实现流程
命师
04-15 1092
操作机制Token主要包含了AccessToken (访问令牌) 和 RefreshToken (刷新令牌),它的出现就是为了解决token的不足,所以才会引入token机制也就是 RefreshToken (刷新令牌),因为它可以延长实际的绘画时间,用户提供了一种安全的方式来去更新AccessToken,并且在必要的时候撤销特定用户的权限,而并不会影响有效的绘画内容。没有权限细分管理(单一的access token包含所有的授权信息,不易于对不同范文或者是力度的一个资源进行精细化的访问控制)
php的sso单点登录实现方法
12-18
本文实例讲述了php的sso单点登录实现方法。分享给大家供大家参考。具体分析如下: 这里详细讲到了几点: 1、点击登录跳转到SSO登录页面并带上当前应用的callback地址 2、登录成功后生成COOKIE并将COOKIE传给callback...
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种...该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录SSO)场景。本实例还原了整个的使用流程。建议使用vs2019,framework4.8版本。
token实现token超时策略示例
09-04
用于restful的app应用无状态无sesion登录示例,需要的朋友可以参考下
jwt手写SSO单点登录框架zip
07-02
手写的JWT,实现SSO框架,将获取到的Token保存在cookie中。简单的练习练习权限框架,提升自己
浅谈谁都能看懂的单点登录SSO)实现方式(附源码)
01-02
SSO英文全称Single Sign On(单点登录)。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行...
如何实现Token无感刷新
weixin_55862073的博客
04-27 1323
为了解决这个问题,采取Token(Access_Token,Refresh_Token无感刷新,用户完全体会不到Token的变化,但实际上,Token已经刷新了。3.Access_Token过期后,前端携带Refresh_Token调用A接口得到新的Access_Token,把新的Access_Token替换旧的Access_Token存储起来。Refresh_Token:用于刷新Access_Token,即调用A接口需要携带Refresh_Token, 用它换得最新的Access_Token
使用token机制来验证用户的安全性-b
weixin_34088838的博客
07-14 4240
登录的业务逻辑{    http:是短连接.         服务器如何判断当前用户是否登录?        // 1. 如果是即时通信类:长连接.    // 如何保证服务器跟客户端保持长连接状态?         // "心跳包" 用来检测用户是否在线!用来做长连接!   http:短连接使用token 机制来验证用户安全性         // token 值: 登录令牌! 用来...
单点登录sso
weixin_44390164的博客
09-16 486
1. 具体流程 用户访问app1系统,app1系统时需要登录的,但现在用户没有登录 跳转到SSO登录系统,SSO系统也没有登录,弹出用户登录页 用户提交账户密码,SSO系统进行认证后,将登录状态写入SSO的session(session存储在redis中),并给浏览器中写入SSO域下的Cookie(保存sessionId) SSO系统登录完成后会生成一个token。同时将token作为参数传递给app1系统(重定向中的参数) app1系统拿到token后,从后台向SSO系统发送请求,验证token
Token的处理
weixin_70604812的博客
02-28 532
前言:当我们在完成登录以后,会对token进行存储,一般存储在本地以及vuex中,但是token是有时效性的,到达一定时效,就会失效,因此衍生出token(下文一个叫token,另一个叫refresh_token),refresh_token的时效性设置应比token长,这样当token失效时,refresh_token可以发起一次请求,重新获取一次token,从而保证用户的体验舒适度,没必要正在疯狂输出,啪一下,快乐没了~~~~
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1414
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌。
java 实现SSO单点登录
06-14
实现SSO单点登录,可以使用Java开发框架,比如Spring Security、Shiro等。 下面是一个简单的实现步骤: 1. 配置SSO服务器:使用Spring Security或Shiro实现一个SSO服务器,负责认证用户信息和授权。 2. 配置客户端:在需要使用SSO的应用中,引入SSO客户端依赖,并进行配置。客户端需要配置SSO服务器的地址和相关信息。 3. 用户登录:用户在任意一个应用中登录,SSO服务器会为其颁发一个Token,并将Token存储在Cookie中。 4. 应用鉴权:用户访问其他应用时,应用需要向SSO服务器验证Token的有效性,并获取用户信息。 5. 单点登出:用户在一个应用中退出登录时,SSO服务器需要清除用户的Token,并通知其他应用进行登出操作。 需要注意的是,实现SSO单点登录需要考虑安全性问题,比如Token的有效期、Token的加密方式等。同时,也需要考虑用户体验问题,比如是否需要在SSO服务器中保存用户个性化设置等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值