关于实现token无感刷新的解决方案

已于 2024-05-12 13:38:41 修改
阅读量1.7w 收藏 189
点赞数 28
分类专栏: 笔记 文章标签: jwt axios
于 2021-11-27 15:48:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48468380/article/details/121577011
版权
本文探讨了在使用JWT进行身份验证时,如何避免长期有效token带来的安全问题,重点介绍了使用双token自动刷新技术,包括旧token获取新token的方法,以及实现过程中如何处理并发请求和无感刷新的挑战。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题引入

在开发中为了安全或满足分布式场景,通常会舍弃原有的session认证手段,而采用jwt(json web token);但是使用token难免遇到token有效期的问题,如果token长期有效,服务端不断发布新的token,导致有效的token越来越多,这必然是存在安全问题的。而token不想session一样,在用户操作时会进行刷新,为了用户体验,这个刷新就需要自己实现。

方案

一、使用旧token获取新token

如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一段时间自动刷新token,并且这个时候token一定要是没有过期的,因为如果已经过期的token也可以用来刷新,这和长期有效的token也没什么不同。但这种方式存在一定的问题:

  1. 为了保证同一时间,账户只被单个用户登录,后端必然要保证一个账户的多个token只有一个生效,最简单的方式就是使用分布式缓存中间件如redis,而存在并发请求时,可能前一个请求带着的是旧token,此时又到了刷新token的时间,就会产生请求的token与服务端存储的token不一致的问题
  2. 使用定时器是增加了性能的损耗,不是最佳的手段

二、使用双token的方式进行无感刷新

这里重点介绍这种方式,此方案的大致流程为:登录后客户端收到两个token(access_token,refresh_token),其中access_token用来鉴定身份,而refresh_token用来刷新access_token;这就要求了refresh_token要比access_token有效时间要长,并且refresh_token不能用来鉴定身份
使用这种方案又有一下解决方式:

  1. 后端每次响应都响应一个token过期时间,前端进行判断,在token过期前进行刷新,这种方式存在太多不可控因素,如客户端系统时间被修改、长时间没请求导致token过期却未刷新,无法做到无感刷新,并且也存在并发问题
  2. 使用定时器,使用定时器增加的资源的损耗,亏损了性能,不推荐
  3. 在得到token过期的请求时,再发送refresh_token;有点懒加载的意思,这种方案性能最优

具体实现(方案二的第三种方式)

流程

再理一理程序运行的流程:

  1. 首先,登录得到了两个token,并将其存起来
  2. 当access_token过期时,自动发送refresh_token到刷新token的请求路径请求token刷新
  3. 得到新的token之后,将请求重新发送,实现用户无感刷新token

代码

用到的工具函数

//判空
let isEmpty = function(obj) {
   
    return obj == null || obj == "undefined" || obj == "null" || new String(obj).trim() == '';
};
  1. 封装axios
const my_axios = axios.create({
   
    baseURL: '/app',
    timeout: 15000,
    withCredentials: true
});

这里对axios做一个简单的封装,不做过多赘述

  1. 定义请求拦截器,将请求带上token
my_axios.interceptors.request.use(
        req => {
   
        	//判断当前是否存在tokenBo(tokenBo即两个token组成的对象),存在则带上token
        	//isEmpty函数在上方的工具函数中
最低0.47元/天 解锁文章
前端实现token无感刷新#记录
junsens的博客
04-07 4328
因为服务器的token一版不会设置太长,token过期后就需要重新登录,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token
Token无感知刷新,让流畅成为常态
chen520的博客
08-03 1416
Token无感知刷新机制允许系统在访问令牌即将到期时,无需用户介入,自动使用刷新令牌获取新的访问令牌。这样,用户的操作不会因认证过期而中断,提升了整体的用户体验和应用的可靠性。通过技术手段如请求拦截、状态监测和后台同步操作,Token无感知刷新确保了用户会话的持久性和安全性,成为现代Web开发中不可或缺的一个环节。:Token无感知刷新可能会导致缓存失效,因为每次刷新令牌后,之前的缓存数据可能不再有效。例如,可以在客户端缓存部分数据,或者使用本地缓存来存储令牌信息,减少对服务器的访问。
token无感刷新
最新发布
zjy_yue的博客
03-06 1349
由后端返回一个过期时间,前端在每次请求时,判断token的过期时间,如果快到过期时间了,就去调用刷新token的接口(不推荐 --- 如果本地时间被篡改,特别是本地时间比服务器时间慢时,拦截会失败,不建议采用)服务端把用户信息放入 token 里,设置一个过期时间,客户端请求的时候通过 authorization 的 header 携带 token,服务端验证通过,就可以从中取到用户信息。token无感刷新,是为了解决频繁登录造成的用户体验问题,需要前端定时去刷新token,以帮助用户静默登录。
无感刷新 token
阿城的博客
11-03 1724
又因为无论是 access token 还是 refresh token 都是放在请求头的 authorization 上携带,此时请求拦截设置的 access token 就会覆盖掉 refresh token,导致刷新接口拿不到 refresh token。前一个刷新请求还没拿到最新的 access token,后一个刷新请求又发出了,这就出现了并发刷新 token ,冗余发送请求的情况。在请求拦截器中保存当前请求的url到数组中,后续的请求都需要判断一下,当前请求的url是否已经在数组中。
实现token无感刷新
m0_70902093的博客
06-29 4902
作用:在访问一些接口时,需要传入token,就是它。有效期:2小时(安全)。作用: 当token的有效期过了之后,可以使用它去请求一个特殊接口(这个接口也是后端指定的,明确需要传入refresh_token),并返回一个新的token回来(有效期还是2小时),以替换过期的那个token。有效期:14天。(最理想的情况下,一次登陆可以持续14天。
如何做到无感刷新token?
abcafdsgr123456789的博客
07-24 1078
如何做到无感刷新token?
Axios 封装一个双 token 无感刷新
猿特佳
06-06 1976
为了保证安全性,后端设置的Token不可能长期有效,过了一段时间Token就会失效。而发送网络请求的过程又是需要携带Token的,一旦Token失效,用户就要重新登陆,这样用户可能需要频繁登录,体验不好。为了解决这个问题,采取双Token(Access_Token,Refresh_Token无感刷新,用户完全体会不到Token的变化,但实际上,Token已经刷新了。
VUE前端实现token无感刷新
热门推荐
老电影故事的博客
08-30 1万+
说实话,这个其实没啥好讲的,要说有复杂度的话,也主要是在后端。实现token无感刷新对于前端来说是一项十分常用的技术,其本质都是为了优化用户体验,当token过期时不需要用户调回登录页重新登录,而是当token失效时,进行拦截,发送刷新token的请求,获取最新的token进行覆盖,让用户感受不到token已过期。
前端如何实现token无感刷新
xiangzhihong8的专栏
10-22 1066
通常,对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token。 要做到token无感刷新,主要有3种方案: 方案一: 后端返回过期时间,前端每次请求就判断token的过期时间,如果快到过期时间,就去调用刷新token接口。 缺点:需要后端额外提
实现无感刷新token(看这一篇就够了)
weixin_57909742的博客
11-09 5529
无感知刷新Token是指,在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token的无感知刷新,用户可以无缝继续使用应用。如何判断Token是否过期?如何在Token过期时自动使用Refresh Token获取新的Access Token?下面将介绍如何实现无感知刷新Token的具体步骤。无感刷新Token技术是一种在客户端应用中自动刷新访问令牌的机制,它通过提供用户无感知的刷新操作,改善了用户体验,提高了安全性,同时减轻了服务端的负担。
无感刷新token(从后端到前端整个流程)
bdfcfff77fa的博客
01-18 1297
token刷新是前端安全中必要的一部分,本文从后端到前端整个流程介绍如何实现无感刷新token。页面代码亲自实现并跑通,请放心食用。如需源码,请在评论区留言。!!新建 config/constant.js/* localStorage存储字段 *///短token//长token、/* HTTP请求头字段 *///存放短token//存放长token新建 config/returnCodeMap.js// 在其它客户端被登录// 重新登陆// token过期//接口请求成功。
无感刷新token
baidu_39135917的博客
01-21 327
涉及到登录token,产品提出一个问题:能不能让token过期时间长一点,我频繁的要去登录。 前端:后端,你能不能把token 过期时间设置的长一点。 后端:可以,但是那样做不安全,你可以用更好的方法。 前端:什么方法? 后端:给你刷新token的接口,定时去刷新token 前端:好,让我思考一下 ** 需求 ** 当token过期的时候,刷新token,前端需要做到无感刷新token,即刷token时要做到用户无感知,避免频繁登录。实现思路 方法一 后端返回过期时间,前端判断token过期时间,去调用刷新
一些token无感刷新的思考(附代码)
PleaseBeStrong的博客
05-21 1849
通过该定时器类,可以实现MyTimer.start 方法调用setInterval 间隔delay 时间步执行,判断当前的token过期时间是否小于我们设置的minCheck , 如果小于则使用refreshToken异步刷新token// delay为重复探查的间隔时间 , minCheck是判断token是否是快过期的// 如果存在token,判断是否过期// 假设有一个函数用于获取token的过期时间// 如果剩余时间小于等于5分钟,则异步发送刷新请求并更新token
登录时做 双token实现无感刷新
weixin_58215826的博客
05-17 1787
token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。总之,双token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新的token,来提高系统的安全性和灵活性。:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值