为什么要双token

最新推荐文章于 2024-04-14 15:11:50 发布
最新推荐文章于 2024-04-14 15:11:50 发布
阅读量834 收藏 7
点赞数 10
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cs_knight/article/details/135701850
版权

最近学习到了双token机制,这里说下我个人的理解

我设计的双token的流程即在用户登录时返回两个token,称为access_token和refresh_token,访问接口时,携带access_token,当access_token过期后,让前端携带refresh_token请求刷新token的接口获取新的两个token

refresh_token的过期时间一般设置为access_token的两倍

双token的好处是可以实现token的无感刷新,并且不会让用户一直保持登录状态,可以通过区分活跃用户和非活跃用户来实现让活跃用户来无感刷新。所谓活跃用户在双token中可以理解为access_token过期但是refresh_token没有过期时去访问程序的用户。非活跃用户如果较长时间没有登录过了,那么会导致使用refresh_token去请求刷新接口,因为refresh_token已经过期,那么也会刷新失败,需要重新登录。

双token还有一个好处就是安全性,因为前端每次都是携带过期时间较短的access_token,如果这个access_token被盗,那么利用的时间比较短。而且可以通过设置让refresh_token拥有独特的校验机制,使得access_token就算被盗用也无法作为refresh_token去获取新token,保障安全。

refresh_token只有在access_token过期的时候才会发送,安全性比较好,但是也是存在被盗窃的风险的

双token的缺点也是有的,access_token在得到刷新的结果前会有一段时间处于不可用的状态,为避免这种情况,前端可以主动判断token过期时间(由后台在返回token时返回),如果时间临近了,就主动去发送刷新请求

以上只是个人在学习中的见解,还有很多不足之处,各位大佬们可以批评指正

是一个剑客吗
关注
  • 10
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
token优点_Token认证的优势与劣势
weixin_39600447的博客
12-20 1386
token 我们说的token,是指 访问资源的凭据 。使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大致流程:客户端使用用户名跟密码请求登录服务端收到请求,验证用户名与密码验证成功后,服务端会签发一个Token,再把这个Token 发送给客户端客户端收到 Token 以后可以把它存储起来,比如放在localStorage中客户端每次向服务端请求资源的时候需要带着服务端签...
webapi下的token认证和刷新token
04-27
通过ajax分配相应的clientID和Secret及用户名和...测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2017
前端设计之——token设计
Cuichenyang158的博客
10-05 514
自此就完成了token的无痛刷新,在用户访问网站时,用户对于accessToken的刷新是没有体感的,只会在一两周的时间间隔refreshToken也过期的时候进行一次登录操作,就可以正常访问网站了,即降低了用户实际accessToken被劫持的风险,又提升了用户的体验。token是为了防止用户信息传来传去导致被劫持,但是假如token没有过期时间或者过期很长,那么显然token被劫持还是不安全的,token就失去了意义。这时就需要token来达到无痛刷新token的效果。
Token验证机制实现用户持续操作页面不过期
行云的博客
07-14 1001
token验证机制场景设置 在基于token验证登录态这个情境下,可以想象一个场景,你在使用app或者在网页上进行操作时,你的token突然就过期了,然后只好被迫停止现在正在进行的操作跳转到登录页进行重新登录操作,这就非常的智熄了,这带给用户,特别是经常使用或正在进行某个操作的用户,一种非常不好的体验。这就是单token验证登录的一个缺点。因此对于经常/正在使用...
后端token登陆快速入门:token实现登陆,判断登陆过期
最新发布
Old_Secretary的博客
04-14 1250
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用token来解决。附带token流程和示例代码
为什么使用token实现无感刷新用户认证?
zxcvb0825的博客
01-15 1223
颁发Access Token & Refresh Token(当认证成功了以后,颁发两个内容,一个是Access Token 另一个 Refresh Token,Access Token是一个短期的token(比如几十分钟),Refresh Token是一个长期的token(比如可以设置几天或者更长的时间),这两个token都会返回客户端)----->:对与单token的认证机制在我们项目中仅使用一个Access Token的访问令牌进行用户身份认证和授权的方案处理。
token优点_Token的优势
weixin_33973572的博客
01-30 1661
该楼层疑似违规已被系统折叠隐藏此楼查看此楼token的优势1.无状态、可扩展在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。如果我们将已验证的用户的信息保存在Session中,则每次请求都需要用户向已验证的服务器发送验证信息(称为Session亲和性)。用户量大时,可能会造成 一些拥堵。但是...
JWT 身份认证优缺点分析以及常见问题解决方案
编码行者的博客
10-22 744
之前分享了一个使用 Spring Security 实现 JWT 身份认证的 Demo,文章地址:适合初学者入门 Spring Security With JWT 的 Demo。 Demo 非常简单,没有介绍到 JWT 存在的一些问题。所以,单独抽了一篇文章出来介绍。为了完成这篇文章,我查阅了很多资料和文献,我觉得应该对大家有帮助。 相关阅读: 《一问带你区分清楚Authentication,Authorization以及Cookie、Session、Token》 适合初学者入门 Spring Secur
token优点_Token经济优劣分析
weixin_39586683的博客
12-20 169
Token经济又名通证经济,指的是利用区块链发行代币,通过代币激励,以期获得用户与平台的共同增长经济模式。关于token经济的讨论一直是区块链行业中最热门的话题,特别在2017年牛市期间,有不少人认为token经济大势所驱,会变革生产方式;然而随着区块链市场逐步归于冷清,大家对token经济的发展也由早期的过于乐观,开始走向理性。那token经济的优势到底在哪,它真的会成为一种新的经济模式吗?潜在...
token优点_基于Token 认证和session 认证的比较
weixin_39537397的博客
12-20 183
前言:本文解决的问题基于session 认证的不足基于 token 认证的过程session VS tooken1.传统基于Cookie 认证的过程长期以来,基于Session的认证(Session based authentication)一直处于主流地位。由于http协议是无状态的,借助cookie,客户端登陆成功后,服务端就能识别其后续请求,而不需要每次都登陆。它是*有状态的(statefu...
token实现token超时策略示例
09-04
用于restful的app应用无状态无sesion登录示例,需要的朋友可以参考下
基于Vue和SSM框架的康养App后端源码,集成JWTToken与WebSocket消息推送
03-25
1. 安全性:项目集成了JWT(JSON Web TokenToken机制,分别为访问Token和刷新Token,确保了用户身份的安全验证和数据传输的安全性。 2. 实时通信:利用WebSocket技术实现服务端与客户端之间的实时消息推送,提高...
token无感刷新完整例子(VUE+NEST)
03-05
前端vue项目 进入Vue3AxiosTwoToken 执行pnpm i或npm i安装依赖 执行npm run dev运行 打开浏览器器输入"http://localhost:3200"访问 后端nest接口 进入token-test 执行pnpm i或npm i安装依赖 执行npm run start运行
python 产生tokentoken验证的方法
01-21
最近在做微信公众号开发在进行网页授权时,微信需要用户自己在授权url中带上一个类似token的state的参数,以防止跨站攻击。 在经过再三思考之后,自己试着实现一个产生token和验证token的方案。接下就把code贴出来。...
token的认识
weixin_62122119的博客
06-29 460
token的存在 accessToken和refreshToken存在 acessToken存在周期较短,主要为refreshToken做铺垫,当token过期会不断的刷新token且每次的refreshToKen是会变的。基于token登录验证的情况下 1当你正在访问一个网页时 这时token过期那么你被下线重新登录,2特别是对于哪谢正常访问操作的网页app等的用户,过期时间到被下线,这就很智障,用户体验感极差;
linux安全机制 token,Token技术有什么优势?网络安全学习内容
weixin_35346265的博客
05-14 201
Token技术是什么?使用Token的目的是什么?Token有什么优势?Token是网络协议相关内容知识点,是Linux运维和网络安全工程师需要了解的内容。网络安全是现下较为热门的职业岗位,随着市场对网络安全工程师的需求有所增加,学习网络安全技能的人也越来越多。想要成为优秀的网络安全工程师,就需要掌握扎实的网络安全实战技能。Token技术是什么?Token的引入:Token是在客户端频繁向服务端请...
项目梳理——Token
Hathwayoung的博客
04-24 1523
Tokentoken+refreshToken。 假设设置一个有效时间validtime为2h,如果使用单token的话,则就是进行操作前面这篇提到的方式。 不同的是,当使用token的时候,不需要像单token那样每次操作都对有效时间进行刷新,而是在这2h内,这个token可以一直使用,一直有效,访问不同的信息,不需要刷新。 而在2h后,refreshToken在它的有效期内自动刷新tok...
JWT的优缺点以及token实现无感知回话管理
weixin_44421461的博客
06-11 2071
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析...
微信小程序 token
08-29
微信小程序中的token是指在用户授权登录后,会同时获得一个access_token和一个refresh_token。这两个token分别用于不同的场景。 access_token是用于调用微信开放接口的凭证,例如调用获取用户信息、发起支付等接口时需要使用access_token进行身份验证。access_token的有效期较短,通常为2小时,过期后需要重新获取。 refresh_token用于刷新access_token。当access_token过期后,可以使用refresh_token去刷新获取新的access_token,而无需用户再次授权登录。refresh_token的有效期相对较长,通常为30天。 使用token机制可以提高小程序的安全性和用户体验。在开发过程中,我们需要妥善保存和管理这两个token,并在需要调用接口时及时更新和使用它们。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值