双Token机制(Access Token + Refresh Token)安全高效

于 2025-04-26 05:15:00 发布
阅读量877 收藏 12
点赞数 15
分类专栏: 编程学习 JAVA基础工作中实际总结 文章标签: 安全 java python 开发语言 前端 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andrew_chenwq/article/details/146534991
版权

双Token机制(Access Token + Refresh Token)安全高效

双Token机制(Access Token + Refresh Token)的详细实现步骤:

1. 令牌设计与生成

1.1 令牌定义
  • Access Token
    • 有效期:30分钟(短效)
    • 存储方式:客户端内存或非持久化存储(如JavaScript变量)
    • 内容:用户ID、权限范围、设备指纹哈希、签发时间
    • 格式:JWT(含exp声明)
  • Refresh Token
    • 有效期:7天(长效)
    • 存储方式:HttpOnly + Secure Cookie(防XSS)
    • 内容:全局唯一标识符(UUID)、用户ID、设备指纹哈希
    • 格式:不透明字符串(存储于Redis)
1.2 登录接口实现
// AuthController.java
@PostMapping("/login")
public R<LoginResult> login(@RequestBody LoginRequest request) {
    // 1. 验证用户密码
    LoginUser user = remoteUserService.authenticate(request);
    
    // 2. 生成双Token
    String accessToken = JwtUtils.generateAccessToken(user);
    String refreshToken = UUID.randomUUID().toString();
    
    // 3. 存储Refresh Token到Redis(绑定设备和用户)
    String deviceFingerprint = buildDeviceFingerprint(request);
    String redisKey = buildRefreshTokenKey(user.getUserId(), deviceFingerprint);
    redisService.setEx(redisKey, refreshToken, 7, TimeUnit.DAYS);
    
    // 4. 设置Refresh Token到Cookie
    ResponseCookie cookie = ResponseCookie.from("refresh_token", refreshToken)
        .httpOnly(true)
        .secure(true)
        .path("/")
        .maxAge(7 * 24 * 3600)
        .sameSite("Strict")
        .build();
    
    return R.ok(new LoginResult(accessToken))
        .addHeader(HttpHeaders.SET_COOKIE, cookie.toString());
}

2. 令牌刷新接口

2.1 刷新端点实现
// AuthController.java
@PostMapping("/auth/refresh")
public R<LoginResult> refreshToken(
    @CookieValue(name = "refresh_token", required = false) String refreshToken,
    HttpServletRequest request) {
    
    // 1. 验证Refresh Token存在性
    if (StringUtils.isEmpty(refreshToken)) {
        return R.fail(HttpStatus.UNAUTHORIZED, "缺少刷新令牌");
    }
    
    // 2. 提取设备指纹
    String deviceFingerprint = buildDeviceFingerprint(request);
    
    // 3. 查询Redis验证有效性
    String redisKey = buildRefreshTokenKeyFromRequest(request); // 根据请求生成Key
    String storedToken = redisService.get(redisKey);
    if (!refreshToken.equals(storedToken)) {
        return R.fail(HttpStatus.UNAUTHORIZED, "刷新令牌无效");
    }
    
    // 4. 生成新Access Token
    LoginUser user = getCurrentUser(); // 从上下文获取用户
    String newAccessToken = JwtUtils.generateAccessToken(user);
    
    // 5. 可选:刷新Refresh Token有效期(滑动过期)
    redisService.expire(redisKey, 7, TimeUnit.DAYS);
    
    return R.ok(new LoginResult(newAccessToken));
}
2.2 设备指纹生成逻辑
private String buildDeviceFingerprint(HttpServletRequest request) {
    String ip = ServletUtils.getClientIP(request);
    String userAgent = request.getHeader("User-Agent");
    return Hashing.sha256().hashString(ip + userAgent, StandardCharsets.UTF_8).toString();
}

3. 网关过滤器改造

3.1 验证流程调整
// AuthFilter.java
public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
    ServerHttpRequest request = exchange.getRequest();
    
    // 1. 白名单直接放行
    if (isIgnorePath(request.getPath().toString())) {
        return chain.filter(exchange);
    }
    
    // 2. 尝试获取Access Token
    String accessToken = getAccessToken(request);
    
    try {
        // 3. 验证Access Token有效性
        Claims claims = JwtUtils.parseToken(accessToken);
        if (claims != null && isTokenValid(claims)) {
            // 正常流程
            return chain.filter(addHeaders(exchange, claims));
        }
    } catch (ExpiredJwtException ex) {
        // 4. Access Token过期,尝试刷新
        return handleTokenRefresh(exchange, chain, ex.getClaims());
    }
    
    // 5. 无有效令牌
    return unauthorizedResponse(exchange, "请重新登录");
}

private Mono<Void> handleTokenRefresh(ServerWebExchange exchange, 
                                     GatewayFilterChain chain,
                                     Claims expiredClaims) {
    // 1. 获取Refresh Token
    String refreshToken = getRefreshTokenFromCookie(exchange);
    
    // 2. 调用刷新接口(内部转发)
    return WebClient.create()
        .post()
        .uri("http://auth-service/auth/refresh")
        .cookie("refresh_token", refreshToken)
        .retrieve()
        .bodyToMono(R.class)
        .flatMap(result -> {
            if (result.getCode() == HttpStatus.SUCCESS) {
                // 3. 更新请求头中的Access Token
                String newToken = result.getData().get("accessToken");
                ServerHttpRequest newRequest = exchange.getRequest().mutate()
                    .header("Authorization", "Bearer " + newToken)
                    .build();
                return chain.filter(exchange.mutate().request(newRequest).build());
            } else {
                return unauthorizedResponse(exchange, "会话已过期");
            }
        });
}

4. 安全增强措施

4.1 Token绑定设备
// JWT生成时加入设备指纹
public static String generateAccessToken(LoginUser user, HttpServletRequest request) {
    String fingerprint = buildDeviceFingerprint(request);
    return Jwts.builder()
        .setSubject(user.getUsername())
        .claim("user_id", user.getUserId())
        .claim("fp", fingerprint)
        .setExpiration(new Date(System.currentTimeMillis() + 30 * 60 * 1000))
        .signWith(SECRET_KEY)
        .compact();
}

// 网关验证时检查设备
private boolean validateDeviceFingerprint(Claims claims, HttpServletRequest request) {
    String currentFp = buildDeviceFingerprint(request);
    String tokenFp = claims.get("fp", String.class);
    return currentFp.equals(tokenFp);
}
4.2 主动令牌撤销
// 注销接口
@PostMapping("/logout")
public R<Void> logout(HttpServletRequest request) {
    // 1. 获取当前设备指纹
    String fingerprint = buildDeviceFingerprint(request);
    
    // 2. 删除Redis中的Refresh Token
    String redisKey = buildRefreshTokenKey(getCurrentUserId(), fingerprint);
    redisService.delete(redisKey);
    
    // 3. 将Access Token加入黑名单(剩余有效期内拒绝)
    String accessToken = getAccessToken(request);
    redisService.setEx("token_blacklist:" + accessToken, "1", 
        JwtUtils.getRemainingTime(accessToken), TimeUnit.SECONDS);
    
    // 4. 清除客户端Cookie
    ResponseCookie cookie = ResponseCookie.from("refresh_token", "")
        .maxAge(0)
        .build();
    
    return R.ok().addHeader(HttpHeaders.SET_COOKIE, cookie.toString());
}

5. 客户端实现示例

5.1 前端自动令牌管理
// axios拦截器
axios.interceptors.response.use(response => {
  return response;
}, error => {
  const originalRequest = error.config;
  
  if (error.response?.status === 401 && !originalRequest._retry) {
    originalRequest._retry = true;
    
    // 调用刷新接口
    return axios.post('/auth/refresh', {}, { withCredentials: true })
      .then(res => {
        const newToken = res.data.accessToken;
        localStorage.setItem('access_token', newToken);
        originalRequest.headers['Authorization'] = `Bearer ${newToken}`;
        return axios(originalRequest);
      });
  }
  return Promise.reject(error);
});
5.2 静默刷新机制
// 定时检查Token有效期
setInterval(() => {
  const token = localStorage.getItem('access_token');
  if (token && isTokenExpiringSoon(token)) { // 剩余<5分钟
    axios.post('/auth/refresh', {}, { withCredentials: true })
      .then(res => {
        localStorage.setItem('access_token', res.data.accessToken);
      });
  }
}, 300000); // 每5分钟检查

6. 监控与运维

6.1 关键监控指标
指标名称监控方式报警阈值
刷新令牌失败率Prometheus计数器>5% (持续5分钟)
并发刷新冲突次数Redis分布式锁统计>10次/秒
黑名单令牌数量Redis键空间统计突增50%时告警
6.2 日志审计要点
# 成功刷新日志
[INFO] 用户[1001]通过设备[192.168.1.1|Chrome]刷新令牌,新有效期至2023-10-01 12:30

# 异常事件日志
[WARN] 检测到异常刷新请求,用户[1001]的设备[192.168.1.2|Firefox]与记录不匹配

7. 部署与回滚

7.1 分阶段部署
  1. Phase 1
    • 先部署新的Auth Service(含双Token接口)
    • 保持旧网关兼容两种令牌模式
  2. Phase 2
    • 部署新网关过滤器
    • 前端逐步灰度发布新逻辑
  3. Phase 3
    • 完全禁用旧令牌模式
    • 清理遗留的单一Token数据
7.2 回滚方案

  1. 紧急开关

    @Value("${security.token.mode:SINGLE}")
private String tokenMode;

public Mono<Void> filter(...) {
    if ("SINGLE".equals(tokenMode)) {
        // 回退到旧逻辑
    }
}

  2. 数据兼容

    • 保持旧Token验证逻辑1周
    • 双写Refresh Token到新旧Redis结构

方案优势总结

  1. 安全性提升
    • Access Token短有效期降低泄露风险
    • Refresh Token通过HttpOnly Cookie保护
    • 设备指纹绑定防止跨设备滥用
  2. 用户体验优化
    • 无感知自动刷新机制
    • 支持多设备独立会话管理
  3. 系统扩展性
    • 易于实现令牌吊销列表(黑名单)
    • 支持细粒度权限变更实时生效
  4. 合规性保障
    • 符合OAuth 2.0规范
    • 满足GDPR等数据保护要求
5步实现Spring Boot中的Tokenaccess_token + refresh_token)授权与续期
java专栏
11-03 3211
通过今天的介绍,相信你已经掌握了如何在Spring Boot项目中实现基于JWT的Tokenaccess_token + refresh_token)授权与续期功能。Redis的使用使得Token管理更加灵活和高效,希望这篇文章能够帮助你在未来的开发中更加得心应手。如果你有任何问题或建议,欢迎在评论区留言,让我们一起交流,共同进步!
token三验证Java实现(解决单token可能存在的问题)
Rainbow_Zhenjie的博客
09-25 2245
用户登录后生成的单token可能存在不安全情况,在此基础上用token三验证来更加完善后续请求验证。
Token(access Token, refresh Token)
最新发布
m0_74152892的博客
03-20 362
Token是携带足够信息的数据片段,用于帮助确定用户身份或授权用户执行某个操作。总的来说,Token是允许应用系统执行授权和身份验证过程的工具。
accesstokenrefreshtoken
qq_33600019的博客
06-29 1万+
在工作的时候,有点疑惑accesstokenrefreshtoken这两个是怎么实现的,简单查找了一下百度,得到了如下的解释1,token化的协议过程2,当用户登录的时候,生成access_tokenrefresh_token,并返回给APP。      当access_token失效时,APP使用refresh_token来请求刷新token。      如果refresh_token过期,...
token方案
奔跑的菜鸡
08-24 492
token方案
accessToken refreshToken简单使用源码demo,token刷新及有效时间设置
热门推荐
a704397849的博客
10-23 1万+
最后会附上源码 这篇介绍了一个项目中使用的token登录认证刷新的demo,如需移植到生产项目中,需要根据实际情况做修改。 有个地方需要注意: 我这里刷新产生新的refreshToken时 旧的refreshToken并没有失效,如果不是特别敏感这点的话可以不计较,若是在意的话,那需要自己处理:比如用缓存记录失效的token每次token认证判断是否是失效的token ,如果是的话就返回验证失败...
一文精通JWT Token、ID TokenAccess TokenRefresh Token
FeelTouch Labs
02-21 1798
用于授权访问资源,任何 Bearer 持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密 key。一个 Bearer 代表授权范围、有效期,以及其他授权事项;一个 Bearer 在存储和传输过程中应当防止泄露,需实现 Transport Layer Security (TLS);一个 Bearer 有效期不能过长,过期后可用 Refresh Token 申请更新。
基于acess_tokenrefresh_token实现token续签
03-19
总结,基于acess_tokenrefresh_token的续签机制提供了一种平衡安全性和用户体验的方式。它允许用户在不重新输入凭证的情况下保持会话活跃,同时限制了令牌被盗用的风险。在实际应用中,开发者应根据应用的具体需求...
Token设计:Access TokenRefresh Token
常备不懈
08-07 2086
在现代Web应用中,身份验证和授权是确保安全性的关键部分。Access TokenRefresh Token是用于这一过程的重要组件。
SpringBoot项目实战(009)Spring Security(三)JWT+Redis+RefreshToken
IT老吴的博客
07-17 3738
本章打算: 使用redis作为缓存。 使用refreshtoken刷新accesstoken 缓存角色信息到redis
token刷新、续期,access_tokenrefresh_token实效如何设置
诚的博客
07-29 2366
token刷新、续期,access_tokenrefresh_token实效如何设置 token认证,生成token 过一段时间就会失效(不要故意把时间设的很长,这样不安全token变得毫无意义!),用户需要重新登录获取token。用户经常使用客户端,使用过程中 由于token到期 客户端跳转到登录界面要求登录,这样体验极差!比如: token有效期2h,用户一直在使用客户端,使用过程中token到期跳转到登录页面邀请重新登录。第一次忍了,过了2个小时又要重新登录! 用户:MDZZ,再见。 为了
token!!!
winks3的博客
10-23 2002
超级管理员下线,用户角色修改的时候,避免单token无感知,及时刷新tokentoken系统通常用于提高安全性和分离不同级别的权限。里面主要有两个token业务tokenAccess Token):这是用户用来直接访问资源的token,他的特点是有效期比较短,一旦过期,用户需要重新认证来获取token,这样做的好处是即使我们业务token泄露了,攻击者进行不当操作的时间有限。
权限校验中的“token”方案
weixin_54931655的博客
08-29 1637
注:refresh_token的过期时间一般比access_token的过期时间长一倍,甚至更长。
Token 认证机制详解——原理、实现及代码示例
m0_61786208的博客
02-21 1453
适用于短期访问,过期后需要使用获取新 Token。只应存储在服务器端,避免暴露给前端 Token 认证提供更高的安全性,同时减少用户的重复登录,提高体验。这种方式广泛应用于现代 Web 开发,尤其是 SPA(单页应用)、移动应用和微服务架构中。如果你的系统需要更高的安全性,建议结合Redis 或数据库存储 Refresh Token以便进行主动撤销。
Jwt Token 的刷新机制设计
dotNET跨平台
03-21 2120
Jwt Token 的刷新机制设计Intro前面的文章我们介绍了如何实现一个简单的 Jwt Server,可以实现一个简单 Jwt 服务,但是使用 Jwt token 会有一个缺点就是 t...
登录时做 token实现无感刷新
weixin_58215826的博客
05-17 1810
token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。总之,token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新的token,来提高系统的安全性和灵活性。:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。
oauth2.0授权协议中刷新令牌refresh token的工作原理及生命周期分析
u013905744的专栏
12-16 1万+
在学习oauth2.0协议的时候,对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌,以及刷新令牌是如何工作的,技术细节是啥?比如通过refresh token可以让access token永久不过期吗? 下面就针对这两个问题进行分析。 为什么需要刷新令牌 如果access token超时时间很长,比如14条,由于第三方软件获取受保护资源都要带着access token,这样access token的攻击面就比较大。 如果access token超时时间很短,比如1个小时,那其超时之后
token身份验证,解决refresh_token多次刷新问题
m0_55141616的博客
11-02 1万+
基于Token的身份验证的基本过程如下: 1.用户通过用户名和密码发送请求。 2.服务器端程序验证。 3.服务器端程序返回一个带签名的token给客户端。 4.客户端储存token,并且每次访问都携带token到服务器端的。 5.服务端验证token,校验成功则返回请求数据,校验失败则返回错误码跳转重新登录。 使用refresh token的身份验证操作: 但是如果用户在正常操作的过程中,token过期失效了,要求用户重新登录,对用户的体验会很不好。 使用refresh token
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT枫斗者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值