user token的设计

最新推荐文章于 2022-11-10 19:56:45 发布
最新推荐文章于 2022-11-10 19:56:45 发布
阅读量757 收藏
点赞数
分类专栏: 前后端分离 文章标签: 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/buyueliuying/article/details/123422752
版权

方案一:

双token: access_token 和 refresh_token

CREATE TABLE `user_token`  (
  `id` bigint(20) UNSIGNED NOT NULL AUTO_INCREMENT,
  `user_id` bigint(20) NOT NULL,
  `access_token` bigint(20) UNSIGNED NOT NULL,
  `access_token_expired` datetime NOT NULL,
  `refresh_token` bigint(20) UNSIGNED NOT NULL,
  `refresh_token_expired` datetime NOT NULL,
  `created_at` datetime NOT NULL,
  `updated_at` datetime NOT NULL,
  PRIMARY KEY (`id`) USING BTREE,
  UNIQUE INDEX `token`(`token`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 1 CHARACTER SET = utf8mb4 COLLATE = utf8mb4_unicode_ci ROW_FORMAT = Dynamic;

逻辑:当前时间大于access_token_expired并且小于refresh_token_expired,则可以刷新access_token的值和增加access_token_expired

此方案需要前端请求后端授权api时把access_token,refresh_token都保存起来,当,则通过refresh_token请求后端刷新access_token的接口获取新的access_token

方案二:
单token:只有登录成功后才派发token,后续不更新token

CREATE TABLE `user_token`  (
  `id` bigint(20) UNSIGNED NOT NULL AUTO_INCREMENT,
  `user_id` bigint(20) NOT NULL,
  `token` bigint(20) UNSIGNED NOT NULL,
  `expired_at` datetime NOT NULL,
  `created_at` datetime NOT NULL,
  `updated_at` datetime NOT NULL,
  PRIMARY KEY (`id`) USING BTREE,
  UNIQUE INDEX `token`(`token`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 1 CHARACTER SET = utf8mb4 COLLATE = utf8mb4_unicode_ci ROW_FORMAT = Dynamic;

此方案主要作用是防止用户操作到一半突然要求用户重新登录,所以逻辑上要在expired_at之前,如:当前时间 >= expired_at - 半小时 ,给token续期(修改expired_at

buyue__
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
app登录的token设计
LiuLeQ
12-06 1万+
下面我来说一下我自己的思路: 1.登录的时候,登录成功之后,我们需要给他分配一个token。(1)token可以是文件的形式存着;(2)也可以存在数据库,但是存放在数据库,我个人不推荐,因为每次调用api接口都会对比,这样做法会加重服务器压力;(3)用redis存放token。 我个人强烈推荐的用redis,其次就是文件形式。今天我们重点说文件形式(放在下文去讲),不管什么形式,都一样
后端token登陆快速入门:双token实现登陆,判断登陆过期
Old_Secretary的博客
04-14 2302
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用双token来解决。附带双token流程和示例代码
userToken
Richard_666的博客
12-17 7401
它的职责是保护用户的用户名及密码多次提交,以防密码泄露。 如果接口需要用户登录,其访问流程如下: 1、用户提交“用户名”和“密码”,实现登录(条件允许,这一步最好走https); 2、登录成功后,服务端返回一个 user_token,生成规则参考如下: 服务端用数据表维护user_token的状态,表设计如下: 字段名 字段类型 注释 user_id int ...
API接口TOKEN设计
weixin_30294295的博客
07-04 525
首先需要知道API是什么? API(Application Programming Interface)即应用程序接口。你可以认为 API 是一个软件组件或是一个 Web 服务与外界进行的交互的接口。而我们在这里要谈论的,是作为一家公司如何跟外界进行交互。从另一个角度来说,API 是一套协议,规定了我们与外界的沟通方式:如何发送请求和接收响应。 API的特点:   1、因为...
关于登录 token设计
liaowenxiong的博客
03-10 1779
设计要点: APP 和 小程序 的登录 token 不需要时效性,PC端的登录 token 需要时效性 token 中不要加入到期时间,因为每次有效请求,都要更新 token 的到期时间, 如果把到期时间加入到 token 中,那么每次请求就要生成新的 token ,并且随同请求数据返回给客户端替换旧的 token,这样实在是太麻烦了,也没有必要吧~ 可以把 token 保存在 redis 等缓存数据库中,设置记录的时效,每次请求就拿着 token 去 redis 查询,查询到数据就说明 token 是有
token设计方案,这个厉害!
Java和Android架构
08-05 346
相关阅读:一个90后员工猝死的全过程作者:做个前端 链接:https://www.jianshu.com/p/e07f51c5c8bd 网上关于移动客户端与服务器数据传输之间的 toke...
token AT&A
02-23
4. **SCS3_USER_31Mar2010.bat和SCS3_USER_31MAR2010.cfp**: 这两个文件名可能是日志文件或者脚本文件。`.bat`是Windows批处理文件,可能用于自动执行一系列命令或任务。`.cfp`扩展名不常见,可能代表某种特定格式...
REST2SQL11 基于jwt-go生成token与验证
03-08
在本主题中,我们将深入探讨如何使用`jwt-go`库在Go语言中生成和验证JSON Web Tokens(JWT),这是RESTful API设计中的一个重要组件。JWT是一种轻量级的身份验证机制,用于安全地传递信息,而无需在服务器之间共享...
基于SpringBoot水果蔬菜购物商城网站设计毕业源码案例设计.zip
02-15
4. **Model**:实体类,对应数据库中的表结构,如User、Product、Order等。它们包含了业务对象的属性和行为。 5. **配置文件**:application.properties或application.yml,配置SpringBoot的应用环境,如数据库连接...
基于AndroidStudio校园快递代拿跑腿app设计毕业源码案例设计.zip
02-14
7. **数据库设计**:数据库设计应包含用户表(User)、订单表(Order)、快递信息表(Parcel)等,需考虑字段的合理设置,以及数据的关联关系,例如用户与订单的一对多关系,订单与快递的一对一关系。 8. **安全与...
乐橙accessTokenuserToken,通过http请求的获取
12-06
乐橙accessTokenuserToken,通过http请求的获取
毕业设计-基于微服务的程序在线评测系统的设计与实现(Online Judge)
最新发布
06-25
该仓库为毕业设计-基于微服务的程序在线评测系统的设计与实现(Online Judge)的存放地址 软件架构 服务中心 用户服务--UserService(US) a、用户中心--安全验证token b、用户管理中心 题库服务(具有评论)--...
app登陆token设计
hw120219的博客
12-01 2332
下面是本人的一点对安全登陆的体会,如有错误,还请大佬斧正。 token的特点有两个 1.唯一性,可以标志一个用户。2.也可以按照一定规则生成,本身可携带一些有效信息。 为何不能用用户id代替token呢?因为同一用户每次登陆,生成的token可能不一致。 我们项目的token是用uuid生成的,将用户id作为key,token作为value,放入redis中。 通过redis管理,可以设置tok...
ebay API 应用之获取user tokenuser ID
sunwukong54的专栏
09-27 8567
usertoken有两种,一种是开发者的usertoken,一种是用户的usertoken,开发测试时可以用自己的token,写进程序里面,避免每次都要花时间get一次,获取开发者的token很简单,在https://go.developer.ebay.com/注册开发者帐号,ps:开发者帐号与ebay帐号不一样的。。         下面主要介绍怎么在程序中,通过ebay api获得用
逻辑漏洞密码简单爆破、user_token验证爆破和修改商品单价
bwxzdjn的博客
04-29 877
用实验案例的形式演示验证机制问题-暴力破解和业务逻辑问题-支付逻辑,以了解逻辑漏洞方面的安全威胁。
用burpsuite暴力破解登录页面(请求头含有user_token)
weixin_43779071的博客
07-27 8302
注:此篇基于DVWA的high安全等级下的brute force模式。 当前请求头的user_token的值,来自上一条请求返回响应包里已生成的user_token的值。(第一次获取的user_token除外) 打开DVWA,设置安全等级为high,进入brute force模式,设置好浏览器和burpsuite代理,关闭burpsuite的请求数据包截断: 已知用户名为admin,密码为te...
10.用户登录——什么是token、生成tokentoken获取用户信息免密登录、登录装饰器
m0_63953077的博客
11-10 3507
什么是token、生成tokentoken获取用户信息免密登录、登录装饰器
usertoken_华为手机usertoken已过期
a15011019367的博客
06-27 1558
usertoken它的职责是保护用户的用户名及密码多次提交,以防密码泄露 如果接口需要用户登录,其访问流程如下 1用户提交“用户名”和“密码”,实现登录条件。 ajax中传递token的几种方式 方法一放在请求头中 $ajax type"POST", headers Accept"applicationjson charset=utf8", userToken""+userToken , ur。 Gets or sets a user or application object associate.
基于token的多平台身份认证架构设计
HelloWorld搬运工
03-18 207
个人博客请访问http://www.x0100.top 1、概述 在存在账号体系的信息系统中,对身份的鉴定是非常重要的事情。 随着移动互联网时代到来,客户端的类型越来越多, 逐渐出现了 一个服务器,N个客户端的格局 。 不同的客户端产生了不同的用户使用场景,这些场景: 有不同的环境安全威胁 不同的会话生存周期 不同的用户权限控制体系 ...
user_token字段
07-28
- *1* *2* [API接口TOKEN设计(api_token & user_token)](https://blog.csdn.net/chenyuanyuan1992/article/details/101040419)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值