为什么要使用双token

最新推荐文章于 2024-07-31 15:35:03 发布
最新推荐文章于 2024-07-31 15:35:03 发布
阅读量351 收藏 8
点赞数 3
文章标签: 单点登录 前端 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzhlzhlzh_lzh/article/details/140784108
版权

为什么要使用双token

想知道这个问题的答案,我们先了解一下单点登录(SSO)。

单点登录(Single Sign-On,SSO)是一种认证技术,允许用户使用单一的登录凭据(如用户名和密码)访问多个独立的软件系统。SSO系统的一个常见例子是Google账户,用户登录一次Google账户后,可以访问Gmail、Google Drive、YouTube等多个Google服务。

实现单点登录的方式

一、Cookie+Session模式

在这里插入图片描述
首先,用户用账号密码访问认证中心。校验通过后,服务器在一个session表中存储一个键值对,key是sessionId,value是用户的一些信息。然后,服务器将sessionId返回给用户。用户将sessionId存储起来,访问子系统时带上sessionId。子系统无法直接校验sessionId,所以会将sessionId发给认证中心。认证中心查找session表,如果表中有记录,则校验通过,并通知子系统,子系统就可以将受保护的资源返回给用户。

  • 优点:可以方便地控制用户。例如,如果用户进行了违规操作,可以通过删除认证中心的session表中的对应记录来禁止其登录。
  • 缺点:维护成本较高,需要维护集中式的session存储,并确保其高可用性和可靠性,需要额外的负载均衡和故障转移机制。扩展性差,每次认证都需要访问集中式的认证中心,当用户量大时,认证中心可能成为性能瓶颈。
二、双Token模式

在这里插入图片描述

首先介绍单Token模式。

用户用账号密码访问认证中心,校验通过后,服务器生成一个token(通常使用JWT)并返回给用户。用户请求子系统时带上token,子系统通过解析token来校验其有效性。

  • 优点:各个子系统就不依赖于认证中心,降低了系统间的耦合和成本。
  • 缺点:这种模式下,对用户的控制变得困难。例如,需要让某个用户下线时,需要通知各个系统。

因此,引入了双Token模式。

用户用账号密码访问认证中心,校验通过后,服务器生成两个token:一个是accessToken即访问token,有效时间短(如10分钟或20分钟),另一个是refreshToken即刷新token,有效时间长(如一天或一周)。用户访问子系统时使用accessToken,如果accessToken过期,则使用refreshToken向认证中心请求新的token,此时accessToken和refreshToken都会更新,然后用户使用新的accessToken访问子系统。

这种模式下可以保证对用户的控制,因为accessToken的有效时长较短,用户需要隔一段较短的时间访问一次认证中心。例如,如果用户进行了违规操作,可以通过认证中心不给其新的token来禁止其继续访问。

JoshuaLi_
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javaweb登录模块 , token + redis(防止多设备登录)
11-14
1、后台是否保存 token 以及 refresh_token ?...登陆时将token和refresh_token存储在redis中, 以token/refreshToken + 用户id为键,并在redis更新refresh_token的刷新次数为0(以refreshCount + 用户
token无感刷新完整例子(VUE+NEST)
03-05
前端vue项目 进入Vue3AxiosTwoToken 执行pnpm i或npm i安装依赖 执行npm run dev运行 打开浏览器器输入"http://localhost:3200"访问 后端nest接口 进入token-test 执行pnpm i或npm i安装依赖 执行npm run start运行
jwt续签为什么要使用token,是否单个token也可以吗?
java架构师进阶之路的博客
02-26 680
通俗易懂,深入浅出,一文讲清楚jwt的所有细节。
为什么要token
cs_knight的博客
01-19 946
我设计的token的流程即在用户登录时返回两个token,称为access_token和refresh_token,访问接口时,携带access_token,当access_token过期后,让前端携带refresh_token请求刷新token的接口获取新的两个tokentoken的缺点也是有的,access_token在得到刷新的结果前会有一段时间处于不可用的状态,为避免这种情况,前端可以主动判断token过期时间(由后台在返回token时返回),如果时间临近了,就主动去发送刷新请求。
为什么使用token实现无感刷新用户认证?
zxcvb0825的博客
01-15 1265
颁发Access Token & Refresh Token(当认证成功了以后,颁发两个内容,一个是Access Token 另一个 Refresh Token,Access Token是一个短期的token(比如几十分钟),Refresh Token是一个长期的token(比如可以设置几天或者更长的时间),这两个token都会返回客户端)----->:对与单token的认证机制在我们项目中仅使用一个Access Token的访问令牌进行用户身份认证和授权的方案处理。
token优点_Token的优势
weixin_33973572的博客
01-30 1709
该楼层疑似违规已被系统折叠隐藏此楼查看此楼token的优势1.无状态、可扩展在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。如果我们将已验证的用户的信息保存在Session中,则每次请求都需要用户向已验证的服务器发送验证信息(称为Session亲和性)。用户量大时,可能会造成 一些拥堵。但是...
使用nodejs实现token
m0_66061882的博客
04-20 438
token机制是增强登录授权的一种方式,通常用于海外购物等场景,它采用两种token鉴权用户身份:1. Access Token:用于请求资源的令牌,有一定的过期时间,客户端请求资源时需要带上该令牌。2. Refresh Token:用于刷新Access Token的令牌,过期时间比较长,当Access Token过期时,客户端使用Refresh Token请求新的Access Token。3. 当Access Token过期时,客户端使用Refresh Token请求新的Access Token
token实现token超时策略示例
09-04
Token策略是指使用两种类型的Token:Access Token和Refresh Token。Access Token用于短期、频繁的API访问,而Refresh Token则用于长期存储,当Access Token过期时,客户端可以用它来获取新的Access Token,而不必...
基于Vue和SSM框架的康养App后端源码,集成JWTToken与WebSocket消息推送
03-25
1. 安全性:项目集成了JWT(JSON Web TokenToken机制,分别为访问Token和刷新Token,确保了用户身份的安全验证和数据传输的安全性。 2. 实时通信:利用WebSocket技术实现服务端与客户端之间的实时消息推送,提高...
webapi下的token认证和刷新token
04-27
通过ajax分配相应的clientID和Secret及用户名和...测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2017
前端Web-JavaScript(上)
Yu2uki的博客
07-31 952
JavaScript(简称:JS) 是一门跨平台、面向对象的脚本语言,是用来控制网页行为的,实现人机交互效果。JavaScript 和 Java 是完全不同的语言,不论是概念还是设计。但是基础语法类似。组成:ECMAScript: 规定了JS基础语法核心知识,包括变量、数据类型、流程控制、函数、对象等。BOM:浏览器对象模型,用于操作浏览器本身,如:页面弹窗、地址栏操作、关闭窗口等。DOM:文档对象模型,用于操作HTML文档,如:改变标签内的内容、改变标签内字体样式等。
【分享】前端程序员-技术网站推荐
一位前行者的博客
07-30 526
对于前端开发人员来说,以下是一些推荐的技术网站,这些网站提供了丰富的资源和知识,可以帮助你提升前端开发技能:收集一些 、、 的网站 vite 官方中文文档 element-plus 官方中文文档 pinia 官方中文文档 vue-router 官方中文文档 Tailwind CSS 官方文档 vitest 官方中文文档 es6 中文文档 axios 官方中文文档 vxetable 官方中文文档 lodash 中文文档 echarts 官方中文文档 animat
前端面试】九、框架
weixin_49015558的博客
07-31 388
1 Vue2 实现方式 2 Vue3 实现方式 3 React 实现方式 4 Angular 实现方式
electron 主进程和渲染进程
qq_21087199的博客
07-29 345
虽然最近一年前端大环境不好,但是大家还是要加油鸭!,努力总不会错,千军万马过独木桥,希望大家都是闯过去那一个。进入正题。
基于上云api前端开发经验教训(loading...)
IIIIIAN
07-26 475
对于上云api开发学习过程中的错误教训积累总结
我们的前端开发逆天了!1 小时搞定了新网站,还跟我说 “不要钱”
努力做最接地气的编程干货分享,感谢关注
07-29 1910
本文将带你了解一个新的 Web 框架 **Astro**,并手把手带你使用 Astro 搭建一个属于自己的站点,用过的都说真香!
前端面试3+1】20 css三栏布局6种实现方式、多行文本溢出怎么实现、token过期了怎么处理、【二叉树的中序遍历】
qq_61798306的博客
07-30 674
本文包含八股文:css三栏布局6种实现方式、多行文本溢出怎么实现、token过期了怎么处理,算法【二叉树的中序遍历】
前端代码混淆加密(使用Terser、WebpackObfuscator)
@Fonden
07-30 322
(注意Terser和WebpackObfuscator引入的方式不同,后者是放到plugins中)② 在 Terser 之后使用 WebpackObfuscator 进行混淆。以此在网上查找到相应工具有:Terser、WebpackObfuscator。① 使用 Terser 进行代码压缩和 source map 生成,② 设置在生产环境中才去使用混淆加密工具(开发环境会产生各种报错)为了对公司项目进行安全防护措施,前端需要进行代码混淆加密处理。压缩代码、变量和函数名混淆、删除未使用代码。
【简历】湘南某二本学院:前端简历指导,秋招面试通过率低
最新发布
shuize123的博客
07-31 295
搜索和防抖之间有的区分,如果是有的话,可以去做一个处理,但是一般来说,这两个之间没什么太大关系,搜索和防抖,没有什么相关度,因为我们调后端接口都是异步调用,所以他不会出现卡顿现象,他的卡顿在什么地方,我觉得这个描述不太对,另外呢使用图片转载,这都是一个最小的一个事情,他就是一个基本的功能,就是可以说是都会的功能,所以亮点不够,至少这几个描述亮点还是有的,但是不够,挂号系统就没好讲了,这个依然是一个重度很高的项目。,其他的什么英语阅读,四级能力,这个不要去写了,没什么用。,又是登录,那登录这事太简单了,
微信小程序 token
08-29
微信小程序中的token是指在用户授权登录后,会同时获得一个access_token和一个refresh_token。这两个token分别用于不同的场景。 access_token是用于调用微信开放接口的凭证,例如调用获取用户信息、发起支付等接口时需要使用access_token进行身份验证。access_token的有效期较短,通常为2小时,过期后需要重新获取。 refresh_token用于刷新access_token。当access_token过期后,可以使用refresh_token去刷新获取新的access_token,而无需用户再次授权登录。refresh_token的有效期相对较长,通常为30天。 使用token机制可以提高小程序的安全性和用户体验。在开发过程中,我们需要妥善保存和管理这两个token,并在需要调用接口时及时更新和使用它们。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值