JWT中RefreshToken的应用场景及刷新token的具体实现思路

最新推荐文章于 2024-05-28 09:53:50 发布
最新推荐文章于 2024-05-28 09:53:50 发布
阅读量1.1w 收藏 32
点赞数 10
分类专栏: refreshToken 刷新token 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/isFuong/article/details/114946766
版权

在JWT token中,refreshToken的作用主要是避免token过期时,前端用户突然退出登录产生不良体验。

试想,如果你正访问某基于jwt token机制的网站,该网站token过期时间是24小时,

你在23小时59分前已经登录过了,现在你访问某页面时,正好处于token过期时间24小时的临界点,

这时token突然过期,你上一秒看视频正起劲儿呢,下一秒就让你重新登录了,你说气不气?

这时候如果有一个refreshToken,虽然正式的token过期了,但前端却可以拿这个refreshToken来主动续期。

这样就解决了token过期导致用户上一秒还在登录,下一秒就突然退出登录的问题。

但是如何实现通过refreshToken刷新token呢?

  1. 首先,refreshToken有效时间一定要比token有效时间长至少才能不影响用户体验,具体要长多少得以实际需求为准,建议是24小时

  2. 前端每次访问后端都携带token,如果token失效则后端直接返回类似token失效请重新登录的报文。

  3. 前端第一次收到token失效的响应后,从本地存储拿refreshToken再去请求

  4. 后端一检测到refreshToken参数不为空,就去校验解析这个refreshToken

    1. 如果有效,后端就返回一个新的token及refreshToken给前端,前端收到后更新本地存储,同时拿这个新的token向后端发起第三次请求,然后成功获取资源

    2. 如果无效,则后端同样返回token失效,前端第二次收到失效的响应则跳转到登录页重新登录

这样就解决了以上场景的问题

 

 

isFuong
关注
  • 10
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringSecurity Jwt Token 自动刷新实现
08-19
主要介绍了SpringSecurity Jwt Token 自动刷新实现,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
koa+jwt实现token验证与刷新功能
01-01
JWT JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 本文只讲Koa2 + jwt的使用,不了解JWT的话请到这里)进行了解。 koa环境 要使用koa2+jwt需要先有个koa的空环境,搭环境比较麻烦,我直接使用koa起手式,这是我使用koa+typescript搭建的空环境,如果你也经常用koa写写小demo,可以点个star,方便~ 安装koa-jwt koa-jwt主要作用是控制哪些路由需要jwt验证,哪些接口不需要验证: imp
JWTtoken过期的处理策略
最新发布
weixin_43993064的博客
05-28 866
最简单最直接的方式用户再次输入他们的登录凭证,如用户名和密码,得到一个新的token
springboot整和jwt、shiro、redis实现token自动刷新
08-19
springboot整和jwt、shiro、redis实现token自动刷新
关于无感刷新Token笔记
浮游的博客
03-27 900
JWT是全称是JSON WEB TOKEN,是一个开放标准,用于将各方数据信息作为JSON格式进行对象传递,可以对数据进行可选的数字加密,可使用RSA或ECDSA进行公钥/私钥签名。
TokenRefresh Token
weixin_44153131的博客
02-14 3227
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。
JWT Token、ID Token、Access TokenRefresh Token
乌龟的专栏
02-22 7262
JWT Token、ID Token、Access TokenRefresh Token
JWT生成token及过期处理方案
weixin_34111819的博客
08-01 5872
2019独角兽企业重金招聘Python工程师标准>>> ...
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1466
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis删去此次请求已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis是否含有,校验成功,并在redis删去此次请求已使用过的 有状态令牌。
refresh token作用与使用方式vue2.0
m0_56683897的博客
07-21 1102
通常情况来说,token失效会设计两种情况:1.token在浏览器储存时间过长,过期失效;2.同一个账号只能在一个浏览器登录存储token,在其他浏览器登陆上一个浏览器的账号会被抢占下线。由于不停的更新token,对于浏览器来讲,负载是非常大的,对于用户来说,体验感也不好,试想使用手机时,每隔10分钟锁一次屏,所以我们用到另个一保存token状态的refresh token,来保持token的有效性。
JWT Token实现方法及步骤详解
09-07
- 考虑使用刷新令牌(Refresh Token)机制,当 JWT 过期后,用户可以通过刷新令牌获取新的 JWT,而无需重新登录。 在实际项目,可以创建一个 JWT 服务,封装这些操作,提供生成和验证 JWT 的接口,简化开发流程。...
基于jwttoken自动刷新工具类
xiao_kelai的博客
12-08 223
前端传过期的过来,返回一个固定的错误后,再发个刷新token的请求过来获得新的token,之后再重发请求,找了一会儿没有工具类,我就自己写个工具类refreshToken方法吧,下面是代码。
无感刷新token
油墨香^-^的博客
05-08 55
JWT,全称为JSON Web Token,是一种用于在网络上传递信息的开放标准(RFC 7519)。它是一种紧凑且自包含的方式,用于在各方之间安全地传递信息。JWT通常用于身份验证和信息传递,特别是在Web应用程序JWT由三部分组成:Header(头部): 包含了两部分信息,算法和token类型。通常包括两部分,alg表示签名算法,typ表示token类型。Payload(负载): 实际存储的信息数据。Payload包含了一些称为声明的属性,这些声明有一些预定义的字段,也可以包含自定义的字段。
关于JWTaccess_tokenrefresh_token的思考
qq_36077836的博客
01-08 535
为和要有access tokenrefresh token?我终于想通了
JWT续期问题,ChatGPT解决方案
全栈行动派的博客
03-04 8388
JWT(JSON Web Token)通常是在用户登录后签发的,用于验证用户身份和授权。JWT 的有效期限(或称“过期时间”)通常是一段时间(例如1小时),过期后用户需要重新登录以获取新的JWT。然而,在某些情况下,用户可能会在JWT到期之前使用应用程序,这可能会导致应用程序不可用或需要用户重新登录。为了避免这种情况,解决方案:刷新令牌(Refresh Token)、自动延长JWT有效期
关于RefreshToken的介绍
weixin_63929524的博客
05-03 1745
客户端通常在请求使用Token,当Token过期时,客户端将使用RefreshToken请求新的Token。服务器收到带有RefreshToken的请求时,将检查RefreshToken的有效性,并使用它来生成新的Token,同时返回新的Token和新的RefreshToken。通过上述步骤,我们就实现了双Token机制,可以减少用户Token过期重复登录问题,并且可以在Token过期时自动刷新Token,避免了客户端频繁反复请求的情况。首先,我们需要明确什么是Token,以及为什么需要使用Token
tokenrefresh token
luminita_的博客
10-09 5358
最近一段时间新接手一个项目,第一次听说refresh token,下面谈谈我自己的理解。 首先,什么是token? 什么是refresh token?两者之间有什么关系? 1.token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 2.refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口,我们传入Refresh_t
token,使用refreshToken更新token方案
晓枫
12-01 1783
token更新的主要问题: 请求接口时token过期,需要先刷新token,在请求之前的接口,这样请求了三次接口会导致反应慢。 当有多个接口同时请求时,可能导致多次刷新token或者后面的接口在刷新token后没有重新请求。 看了很多网上的文章解决方法大致分为三种: 每次请求接口时,后台判断token剩余时间,如果时间过半就发一个新的token,同时之前的token短时间内还可以继续使用。(需要后端配合) 前端的请求形成一个消息队列,每个请求依次请求接口,当token过期时,先刷新token之后
JWT refreshtoken
07-28
JWTrefresh_token是用于在access_token失效时,交换新的access_token的一种机制。当access_token过期后,客户端可以使用refresh_token向服务器请求新的access_token,而无需重新进行用户身份认证。这样可以减少频繁地向服务器请求新的access_token,提高了系统的性能和效率。refresh_token通常具有较长的有效期,以确保在access_token过期之前能够使用它来获取新的access_token。\[2\]这种方式可以解决JWT存在的颁发不可回收问题,同时也减少了服务器的压力。然而,需要注意的是,refresh_token的安全性也非常重要,因为如果refresh_token泄漏,攻击者可能会使用它来获取新的access_token并访问服务器的信息。因此,在使用refresh_token时,需要采取相应的安全措施,如使用HTTPS协议进行传输,限制refresh_token的访问范围等。\[3\] #### 引用[.reference_title] - *1* *2* *3* [jwt,accesstokenrefresh token详解](https://blog.csdn.net/qq_37704442/article/details/129210122)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值