双token认证的实现流程

已于 2024-04-16 08:49:30 修改
阅读量1.2k 收藏 9
点赞数 13
文章标签: 阿里云 前端 view design javascript
于 2024-04-15 15:38:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaijingqi/article/details/137779038
版权

单token机制:

        1.认证机制:对与单token的认证机制在我们项目中仅使用一个Access Token的访问令牌进行用户身份认证和授权的方案处理。

实现步骤:

        1.发送验证码:用户提交手机号码后,后端生成一个随机的验证码,并将其与用户手机号码关联。然后,后端将验证码使用JWT编码,并将其发送到用户的手机。

        2.验证验证码:用户输入收到的验证码后,前端将其发送到后端。后端验证该验证码是否有效,并返回一个包含用户信息的JWT令牌。

        3.登录:前端将JWT令牌存储在本地,并在后续的请求中将其发送到后端作为身份验证的凭据。

不足之处:

        1.令牌过期问题:单一令牌机制可能存在过期问题。如果令牌的有效期太长,可能会增加安全风险;而如果有效期太短,用户可能需要频繁地重新登录。解决方法可以是使用短期令牌,并结合刷新令牌机制来延长会话时间。

        2.令牌泄露风险:一旦令牌泄露,黑客可以使用该令牌冒充用户进行操作。为了减少泄露风险,可以采用HTTPS传输协议,并在令牌中包含较少敏感信息,以及采用其他安全机制如IP限制或设备识别等。

        3.单点故障:如果使用单一令牌机制,一旦令牌被篡改或失效,用户可能需要重新登录所有相关的服务。使用分布式令牌管理系统或者采用多因素身份验证可以降低这种风险。

        4.跨设备登录问题:如果用户在多个设备上登录,可能需要频繁刷新或重新获取令牌。这可能会增加用户体验的复杂性。可以考虑使用多设备登录管理机制或长期持久化令牌来解决这个问题。

        5.权限控制不灵活:单一令牌机制可能无法灵活地控制不同用户或不同角色的权限。在这种情况下,可以结合使用令牌和访问控制列表(ACL)等机制来实现更灵活的权限管理。

安全性较低(因为只有一个token在客户端和服务器端之间进行传递,一旦Access Token被截获或者被泄露,攻击者就会在有效时间内完成模拟用户行为,访问所有受保护资源)
短有效期策略限制无法撤销会话(为了提高安全性access token通常设置的时间是比较短的,然而需要频繁的去获取access token,影响的是用户的体验,尤其是长时间操作或者是后台的服务场景下就会遇到一个瓶矜,而且也无法撤销对应的汇报,如果某个token被盗用了,难以立即撤销这个token的有效性,从而不能立即中断攻击者的访问权限)
无代态刷新问题(若要自动去刷新token维持长期的绘画,单token的机制需要将刷新的逻辑耦合到具体的业务流程当中,这就会增加复杂性和潜在的安全风险)
没有权限细分管理(单一的access token包含所有的授权信息,不易于对不同范文或者是力度的一个资源进行精细化的访问控制)


双Token机制
操作机制:双Token主要包含了AccessToken (访问令牌) 和 RefreshToken (刷新令牌),它的出现就是为了解决单token的不足,所以才会引入双token的机制也就是 RefreshToken (刷新令牌),因为它可以延长实际的绘画时间,用户提供了一种安全的方式来去更新AccessToken,并且在必要的时候撤销特定用户的权限,而并不会影响有效的绘画内容。

实时上双token的机制是 o os 2.0标准中常见的一种实现,主要包含两个类型的token,一个是AccessToken (访问令牌) ,一个是RefreshToken (刷新令牌)

AccessToken (访问令牌):它会设置一个有效时间较短的令牌内容,用于的是用户每次请求受保护资源时,进行身份验证的操作,通常直接包含在api请求头或者是URL地址参数之中,用于证明客户端其实是有权限去访问特定的资源的

RefreshToken (刷新令牌):刷新令牌,会设置一个有效时间比较长并且安全存储比较高的一个令牌,主要用于AccessToken过期了以后,去重新获取AccessToken的操作内容。我们并不需要用户去提供一个特殊的登录凭证。因为RefreshToken 一般不会频繁的在网络上进行传输,目的就是为了降低被截取的一个风险

双token有很多优势:

安全性提升(因为AccessToken和RefreshToken其实是会被分离的,即使AccessToken被盗用了,但是由于有效时间是比较短的,损失还是可以控制的,同时RefreshToken的安全性则会变的更高,一般还不暴露在网络的传输过程当中,攻击者其实很难窃取到AccessToken长期的有效访问权限)
用户体验优化(RefreshToken可以实现无感知的token刷新,也就是我们所说的无感刷新,因为当AccessToken失效的时候,客户端就会自动去刷新AccessToken,利用的就是RefreshToken,用户并不需要进行一个重新的登录,从而保证操作的连贯性)

权限控制灵活(而且双token机制还有很好的权限控制灵活性,可以通过控制RefreshToken的有效期,刷新次数等方式来灵活的管理用户的绘画生命周期,并且在必要的时候去撤销RefreshToken的内容从而终止后续所以AccessToken的一个访问生成)

                             下面是双token的实现流程图

命师
关注
  • 13
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
token校验机制
marko_zheng的博客
11-15 1万+
token校验机制 什么是token token是客户端登陆的时候由服务端生成,之后每次请求都需要携带token进行请求。校验用户身份呢的作用 为什么使用token 减少敏感信息的传递 可以校验用户身份的准确性以及有效期 单token登录流程以及请求校验流程 注意 token是使用base64的形式进行加密的 是有一部分存储在客户端中,所以,token中不建议存放敏感信息 token校验机制 场景设想: ​ 用户正在app或者应用中操作 token突然过期,此时用户不得不返回登陆界面,重新进行一
基于SpringBoot整合oauth2实现token认证
08-25
基于SpringBoot整合oauth2实现token认证 本文主要介绍了基于SpringBoot整合oauth2实现token认证的技术,通过示例代码对该技术进行了详细的介绍,对读者学习或工作具有重要参考价值。 SpringBoot和oauth2的整合 在...
JWT令牌(token实现登录验证
weixin_43973161的博客
09-23 5893
就是在登陆操作之后由服务端返回两个token:accessToken和refreshToken,在之后的验证登录态的操作中使用这两个token进行验证,其中accessToken的过期时间相当短,refreshToken的过期时间相对于accessToken而言相当长,且会不断的刷新。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
Token方案实现Token自动续期(基于springboot+vue前后端分离项目)
最新发布
qq_44286009的博客
06-10 1847
jwt理论介绍springboot+vue项目中使用jwt实现登录认证本篇文章的代码是在springboot+vue项目中使用jwt实现登录认证的基础上实现Token自动续期的功能。token解决方案是一种用于增强用户登录安全性和提升用户体验的认证机制。它主要涉及两个令牌:访问令牌(accessToken)和刷新令牌(refreshToken)。
什么是token验证规则
YaecSakura的博客
04-20 339
在数据表中存在一个access_token和refresh_token的对应关系,当access_token过期的时候,去数据库中寻找相对应当refresh_token进行验证,随后生成新的access_token和refresh_token。(刷新) 当access_token过期时,才会用到refresh_token,作用:相当与一个令牌,可以拿着refresh_token生成一个新的access_token。允许) 请求所携带的为access_token 进行接口权限校验。
Express token认证 实现无感刷新token
YN2004的博客
03-29 791
以上就是我本章要分享的内容了,写的不好请见谅,希望通过本章,可以让你对token有一个大概的理解。
一张图说明token(JWT的token&refreshToken)的使用流程
chenyuhaokaixin的博客
09-03 307
​​​​​​​​​​​​​​
Token校验机制
swk1300524046的博客
10-17 725
Toekn机制,token
扫微信小程序码实现网站登陆实现解析
10-16
扫微信小程序码实现网站登录是一种便捷的用户认证方式,它结合了微信小程序的扫码功能与网站的登录逻辑,为用户提供无密码或少密码的登录体验。本文将详细解析这一实现过程。 首先,我们需要理解核心流程。扫微信小...
统一的身份认证和访问控制之单点登录系统设计与实现
04-22
### 统一的身份认证和访问控制之单点登录系统设计与实现 在当前信息化高度发展的时代背景下,企业和组织面临着越来越复杂的信息安全挑战。其中,如何有效地管理用户的身份认证与访问控制成为了信息安全领域的一个...
Android应用源码之OAuth认证以及使用网易微博开放平台实现聊天功能-IT计算机-毕业设计.zip
04-06
该Android应用源码示例主要...通过对这个源码的学习,你不仅能掌握OAuth认证流程,还能理解如何在Android中实现与第三方服务的集成,以及如何构建实时聊天功能,对于提升你的Android开发技能和毕业设计质量大有裨益。
token实现token超时策略示例
09-04
用于restful的app应用无状态无sesion登录示例,需要的朋友可以参考下
统一身份认证平台技术方案.zip
10-03
2. **身份验证**:平台需要具备强大的身份验证机制,包括但不限于密码策略、因素认证(如短信验证码、指纹识别等)、智能卡认证等,以确保只有合法用户能够访问系统。 3. **授权管理**:平台需要提供细粒度的权限...
token的认识
weixin_62122119的博客
06-29 485
token的存在 accessToken和refreshToken存在 acessToken存在周期较短,主要为refreshToken做铺垫,当token过期会不断的刷新token且每次的refreshToKen是会变的。基于token登录验证的情况下 1当你正在访问一个网页时 这时token过期那么你被下线重新登录,2特别是对于哪谢正常访问操作的网页app等的用户,过期时间到被下线,这就很智障,用户体验感极差;
山东大学项目实训(二十五)—— 结合请求拦截和响应拦截实现token机制
long99920的博客
05-08 1258
实现token,解决token过期存在的并发请求问题
【Vue3项目】登录注册--Token机制
aDiaoYa_的博客
08-12 1951
最近同项目的伙伴告诉我们一个“新词汇”——Token登录机制,emmmmm,确实没了解过,据说是在实现token长期有效的同时,防止token被第三方盗用,提高用户信息的安全性。于是,在了解了大概之后,我找了很多篇文章去学习Token实现过程,总结如下。一般我们实现用户登录是:用户登录向服务端发送账号密码信息,登录失败返回客户端重新填写并发送用户信息;登录成功服务端生成token并返回token给客户端,客户端将token存本地。那么问题来了,token的有效期应该是多久呢?
token方案
奔跑的菜鸡
08-24 409
token方案
山东大学项目实训(二)—— 请求封装和TOKEN机制
long99920的博客
04-04 2636
山东大学项目实训
基于spring security实现vue2前后端分离的token刷新机制(完整代码详解,含金量拉满!)
qq_60614034的博客
03-27 3608
网上许多博主,放张图片讲讲token原理就发出来,没有含金量,还耽误大伙的时间。但是我不一样,我将会把代码的每一步骤都讲明白,并把详细代码放出来,让每一位看到的人都能跟着一步步自己搞,弄明白每一步的执行流程。要是觉得我跟那些博主一样,也是水文章,互相抄袭,请在评论区直接开骂。如果是第一次接触security请看这篇spring security单token前后端分离详细配置。
python中token认证
12-29
在Python中实现token认证的过程通常包括生成和颁发令牌、验证令牌的有效性、处理过期和刷新令牌等流程。这涉及到使用加密算法对令牌进行生成和验证,管理令牌的存储和过期处理等工作。 总的来说,token认证是一...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值