JWT refreshtoken 实践

最新推荐文章于 2023-02-24 23:06:20 发布
最新推荐文章于 2023-02-24 23:06:20 发布
阅读量816 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/czongxiao/article/details/100013175
版权

Photo by Joseph Chan on Unsplash

Json web token (JWT), 根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。详细介绍可以查看这篇文章 理解JWT(JSON Web Token)认证及实践

JWT 特点

优点

  • 体积小,因而传输速度快

  • 传输方式多样,可以通过URL/POST参数/HTTP头部等方式传输

  • 严格的结构化。它自身(在 payload 中)就包含了所有与用户相关的验证消息,如用户可访问路由、访问有效期等信息,服务器无需再去连接数据库验证信息的有效性,并且 payload 支持为你的应用而定制化。

  • 支持跨域验证,可以应用于单点登录。

存在的问题

JWT 自身(在 payload 中)就包含了所有与用户相关的验证消息,所以通常情况下不需要保存。这种设计存在几个问题:

  1. Token不能撤销--客户端重置密码后之前的JWT依然可以使用(JWT 并没有过期或者失效

  2. 不支持refresh token,JWT过期后需要执行登录授权的完整流程

  3. 无法知道用户签发了几个JWT

针对第一个问题,可能的解决方法有:

  1. 保存JWT到数据库(或Redis),这样可以针对每个JWT单独校验

  2. 在重置密码等需要作废之前全部JWT时,把操作时间点记录到数据库(或Redis),校验JWT时同时判断此JWT创建之后有没有过重置密码等类似操作,如果有校验不通过

当然,这种解决方法都会多一次数据库请求,JWT自身可校验的优势会有所减少,同时也会影响认证效率。

这篇文章主要介绍解决第二个问题(不支持refresh token)的思路。

refresh token

refresh token是OAuth2 认证中的一个概念,和OAuth2 的access token 一起生成,表示更新令牌,过期所需时间比access toen 要长,可以用来获取下一次的access token。

如果JWT 需要添加 refresh token支持,refresh token需要满足的条件有一下几项:

  1. 和JWT一起生成返回给客户端

  2. 有实效时间,有效时间比JWT要长

  3. 只能用来换取下一次JWT,不能用于访问认证

  4. 不能重复使用(可选)

refresh token 获取流程

refresh token 使用流程

代码示例

import jwt
import time

# 使用 sanic 作为restful api 框架 
def create_token(account_id, username):
    payload = {
        "iss": "gusibi.mobi",
        "iat": int(time.time()),
        "exp": int(time.time()) + 86400 * 7,
        "aud": "www.gusibi.mobi",
        "sub": account_id,
        "username": username,
        "scopes": ['open']
    }
    token = jwt.encode(payload, 'secret', algorithm='HS256')
    payload['grant_type'] = "refresh"
    refresh_token = jwt.encode(payload, 'secret', algorithm='HS256')
    return True, {
        'access_token': token,
        'account_id': account_id,
        "refresh_token": refresh_token
        }

# 验证refresh token 出否有效
def verify_refresh_token(token):
    payload = jwt.decode(token, 'secret', audience='www.gusibi.com', algorithms=['HS256'])
    # 校验token 是否有效,以及是否是refresh token,验证通过后生成新的token 以及 refresh_token
    if payload and payload.get('grant_type') == 'refresh':
        # 如果需要标记此token 已经使用,需要借助redis 或者数据库(推荐redis)
        return True, payload
    return False, None

# 验证token 是否有效
def verify_bearer_token(token):
    #  如果在生成token的时候使用了aud参数,那么校验的时候也需要添加此参数
    payload = jwt.decode(token, 'secret', audience='www.gusibi.com', algorithms=['HS256'])
    # 校验token 是否有效,以及不能是refresh token
    if payload and not payload.get('grant_type') == 'refresh':
        return True, payload
    return False, None

参考链接

References[1] 理解OAuth 2.0: http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

最后,感谢女朋友支持和包容,比❤️

也可以在公号输入以下关键字获取历史文章:公号&小程序 | 设计模式 | 并发&协程

czongxiao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
koa+jwt实现token验证与刷新功能
01-01
JWT JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 本文只讲Koa2 + jwt的使用,不了解JWT的话请到这里)进行了解。 koa环境 要使用koa2+jwt需要先有个koa的空环境,搭环境比较麻烦,我直接使用koa起手式,这是我使用koa+typescript搭建的空环境,如果你也经常用koa写写小demo,可以点个star,方便~ 安装koa-jwt koa-jwt主要作用是控制哪些路由需要jwt验证,哪些接口不需要验证: imp
JWT生成token的四种处理方式
qq_43611893的博客
08-12 3506
JWT生成token的三种处理方式基本思路1.0实现2.0实现3.0实现4.0实现最终实现后端前端(VUE) 基本思路 access_token 过期设置为15分钟 前端发起请求,后端验证access_token是否过期;如果过期,前端发起refresh_token请求,后端设置已再次授权标记为true,请求成功 前端发起请求,后端验证再次授权标记,如果已经再次授权,则拒绝refresh_token的请求,请求成功 如果前端每隔72小时,必须重新登录,后端检查用户最后一次登录日期,如超过72小时,则拒绝刷
springBoot+springSecurity+jwt实现权限管理以及token管理
qq_43226072的博客
08-25 1143
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 这里是引用 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学
ASP.NET Core 2.2 : 二十六. 应用JWT进行用户认证及Token的刷新
weixin_30915951的博客
08-27 928
本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token的刷新方案(ASP.NET Core 系列目录) 一、什么是JWTJWT(json web token)基于开放标准(RFC 7519),是一种无状态的分布式的身份验证方式,主要用于在网络应用环境间安全地传递声明。它是基于JSON的,所以它也像json一样可以在.Net、JAVA、Jav...
JWTRefreshToken的应用场景及刷新token的具体实现思路
isFuong的博客
03-17 9963
JWT token中,refreshToken的作用主要是避免token过期时,前端用户突然退出登录产生不良体验。 试想,如果你正访问某基于jwt token机制的网站,该网站token过期时间是24小时, 你在23小时59分前已经登录过了,现在你访问某页面时,正好处于token过期时间24小时的临界点, 这时token突然过期,你上一秒看视频正起劲儿呢,下一秒就让你重新登录了,你说气不气? 这时候如果有一个refreshToken,虽然正式的token过期了,但前端却可以拿这个refreshTo
auth-api:OAuth2方法中的JWT实现(acccessTokenrefreshToken
04-08
身份验证API 在OAuth2方法(acccessTokenrefreshToken)中实现JWT 开发环境 Spring启动2.4.4 Spring安全 JWT库-> io.jsonwebtoken JPA H2服务器模式 项目流程 运行服务器时的默认用户插入处理(测试数据) 呼叫/ authenticate->检查ID /密码信息并返回令牌信息(accessToken,refresToken) 使用发出的accessToken请求API调用 当accessToken过期时,通过调用/ re / authenticate重新设置accessTokenrefreshToken(设置先前在调用API时在标头中发布的refreshToken) 设定值 jwt: access-token-refresh-url: /re/authenticate access-token
jwt无状态权限认证(RefreshToken)
zhouping118的博客
04-17 7689
1.背景 在开发pingss-sys脚手架(项目地址)时,需要在微服务分布式环境中管理权限。 上一篇写了基本的jwt无状态权限认证,但是存在两个问题 生成的token如果过期时间太短,则每次到期后,都需要用户重新登录 生成的token如果过期时间太长,由于token签发后,在有效期内无法注销,存在安全隐患 本篇使用RefreshToken+redis增加安全性 2.思路 用户登录成功生...
JWT中的refresh_token
热门推荐
dskwe的专栏
01-10 1万+
参考链接: https://github.com/tymondesigns/jwt-auth/issues/186 https://github.com/tymondesigns/jwt-auth/issues/11利用JWT处理过期: 1.在普通路径下请求时如果token过期,则客户端再次发出一个请求给服务器到一个设定的refresh路径 2.在该路径下采用middleware = ‘jw
jwt,accesstokenrefresh token详解
qq_37704442的博客
02-24 4111
jwt,accesstokenrefresh token详解
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springSecurity-jwt:JWT access_tokenrefresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessTokenRefreshToken) version1太复杂,无法优化。accessToken refreshToken流安全登录处理流程详细说明转到博客文章JWT异常处理安全异常处理(AuthenticationEntryPoint,...
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
JWT 网关TOKEN 加密
05-15
JWT 网关TOKEN 加解密方案,对系统无侵入
分布式系统.pptx
04-29
分布式系统.pptx
源代码-360通用ASP防护代码(防sql注入).zip
04-29
源代码-360通用ASP防护代码(防sql注入).zip
node-v8.1.0-darwin-x64.tar.gz
最新发布
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
2020年ti杯电赛省赛A题代码整理
04-29
2020年ti杯电赛省赛a题的项目 分为 手机端(android),主显示端,姿态检测手环端,心率滤波读取端 mcu 采用的是esp32.结合了适配esp32的arduino以及rtos框架进行开发。 开发环境 及 语言 安卓为android studio java开发 esp32为platform io c/c++ 节点间通信方式 tcp直连,手机端为总服务端 手机端 android 原生开发 主显示端 屏幕ili9341 spi 触摸xpt2046 图形 adafruit gfx ad芯片 ads112c04 测温 lmt70 姿态检测端 9轴 bno055 心率检测 心电 ads1292
node-v6.15.0-sunos-x64.tar.gz
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
JWT refreshtoken
07-28
JWT中的refresh_token是用于在access_token失效时,交换新的access_token的一种机制。当access_token过期后,客户端可以使用refresh_token向服务器请求新的access_token,而无需重新进行用户身份认证。这样可以减少频繁地向服务器请求新的access_token,提高了系统的性能和效率。refresh_token通常具有较长的有效期,以确保在access_token过期之前能够使用它来获取新的access_token。\[2\]这种方式可以解决JWT存在的颁发不可回收问题,同时也减少了服务器的压力。然而,需要注意的是,refresh_token的安全性也非常重要,因为如果refresh_token泄漏,攻击者可能会使用它来获取新的access_token并访问服务器的信息。因此,在使用refresh_token时,需要采取相应的安全措施,如使用HTTPS协议进行传输,限制refresh_token的访问范围等。\[3\] #### 引用[.reference_title] - *1* *2* *3* [jwt,accesstokenrefresh token详解](https://blog.csdn.net/qq_37704442/article/details/129210122)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值