token有效期问题

已于 2022-09-30 22:25:35 修改
阅读量2.8k 收藏 8
点赞数 2
分类专栏: 前端面试 文章标签: 前端 java 开发语言
于 2022-09-30 22:24:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60237095/article/details/127129847
版权

使用token:

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的

1.前端使用用户名跟密码请求首次登录

2.后服务端收到请求,去验证用户名与密码是否正确

3.验证成功后,服务端会根据用户id、用户名、定义好的秘钥、过期时间生成一个 Token,再把这个 Token 发送给前端

4.前端收到 返回的Token ,把它存储起来,比如放在 Cookie 里或者 Local Storage 里

5.前端每次路由跳转,判断 localStroage 有无 token ,没有则跳转到登录页。有则请求获取用户信息,改变登录状态;

6.前端每次向服务端请求资源的时候需要在请求头里携带服务端签发的Token

7.服务端收到请求,然后去验证前端请求里面带着的 Token。没有或者 token 过期,返回401。如果验证成功,就向前端返回请求的数据。

8.前端得到 401 状态码,重定向到登录页面。
 

需要设置有效期吗?

对于这个问题,我们不妨先看两个例子。一个例子是登录密码,一般要求定期改变密码,以防止泄漏,所以密码是有有效期的;另一个例子是安全证书。SSL 安全证书都有有效期,目的是为了解决吊销的问题,对于这个问题的详细情况,来看看知乎的回答(http://dwz.cn/7joMhq)。所以无论是从安全的角度考虑,还是从吊销的角度考虑,Token 都需要设有效期。

那么有效期多长合适呢?

只能说,根据系统的安全需要,尽可能的短,但也不能短得离谱——想像一下手机的自动熄屏时间,如果设置为 10 秒钟无操作自动熄屏,再次点亮需要输入密码,会不会疯?如果你觉得不会,那就亲自试一试,设置成可以设置的最短时间,坚持一周就好(不排除有人适应这个时间,毕竟手机厂商也是有用户体验研究的)。

然后新问题产生了,如果用户在正常操作的过程中,Token 过期失效了,要求用户重新登录……用户体验岂不是很糟糕?

为了解决在操作过程不能让用户感到 Token 失效这个问题,有一种方案是在服务器端保存 Token 状态,用户每次操作都会自动刷新(推迟) Token 的过期时间——Session 就是采用这种策略来保持用户登录状态的。然而仍然存在这样一个问题,在前后端分离、单页 App 这些情况下,每秒种可能发起很多次请求,每次都去刷新过期时间会产生非常大的代价。如果 Token 的过期时间被持久化到数据库或文件,代价就更大了。所以通常为了提升效率,减少消耗,会把 Token 的过期时保存在缓存或者内存中。

还有另一种方案,使用 Refresh Token,它可以避免频繁的读写操作。这种方案中,服务端不需要刷新 Token 的过期时间,一旦 Token 过期,就反馈给前端,前端使用 Refresh Token 申请一个全新 Token 继续使用。这种方案中,服务端只需要在客户端请求更新 Token 的时候对 Refresh Token 的有效性进行一次检查,大大减少了更新有效期的操作,也就避免了频繁读写。当然 Refresh Token 也是有有效期的,但是这个有效期就可以长一点了,比如,以天为单位的时间。

结果才重要
关注
专栏目录
java token 有效期_如何保证access_token长期有效
weixin_35659543的博客
02-13 4827
为了使第三方开发者能够为用户提供更多更有价值的个性化服务,微信公众平台开放了许多接口,包括自定义菜单接口、客服接口、获取用户信息接口、用户分组接口、群发接口等,开发者在调用这些接口时,都需要传入一个相同的参数access_token,它是公众账号的全局唯一票据,它是接口访问凭证。access_token有效期是7200秒(两小时),在有效期内,可以一直使用,只有当access_token过期时,...
小程序token有效期_小程序-登录-token
weixin_39970064的博客
12-19 3219
1.前端调用wx.login()获取code值2.前端通过调用wx.getUserInfo获取iv、rawData、signature、encryptedData等加密数据,传递给后端3.服务器通过code请求api--auth.code2Session,换回session_key和openid示例代码(判断用户的openid是否在数据库不在就加入成为会员,再给前端发送token(随机字符,也可...
如何设置token有效期【5个应用场景分析+双token实现解析】
devops
05-10 1858
Token最常见的应用场景之一就是身份验证,验证token还有各种场景,你需要进一步了解token有效期如何设置。
token过期时间分平台(web和app)设置方法
最新发布
xingyuemengjin的博客
08-30 1601
本文介绍了Spring下的登录和鉴权机制的主要方法以及 token认证的主要流程,并介绍在springweb端和APP端设置不同token过期时间的实现方法。主要基于SpringBoot+springSecurity+JWT框架实现。
Java编程——Token 认证的来龙去脉
weixin_33672109的博客
07-19 309
通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Token? 而要回答这个问题很简单——因为它能解决问题! 可以解决哪些问题呢? 1. Token 完全由应用管理,所以它可以避开同源策略 2. Token 可以避免CSRF 攻击 3....
token 有效期设置
热门推荐
qq_38930240的博客
12-24 1万+
Calendar calendar = new GregorianCalendar(); Date date = new Date(); calendar.setTime(date); calendar.add(GregorianCalendar.YEAR, 1);//把日期往后增加一年.整数往后推,负数往前移动 calendar...
关于token过期问题
weixin_47175934的博客
02-28 1687
过期时,你可以拿着过期token去换取新的token,来保持用户的登陆状态,当然你这个过期token过期时间必须在刷新时间之内,如果超出了刷新时间,那么返回的依旧是 401。概述:服务器生成token的过程,会有两个时间,一个是token失效时间,一个是token刷新时间,刷新时间肯定比失效时间长,当用户的。:刷新令牌,有效期14天,用于访问令牌过期之后重新获取新的访问令牌。当用户token过期时,去向服务器请求新的 token。把旧的token替换为新的token。我们的项目接口设定的。
jwt_token的有效时间和刷新时间
wo240的专栏
04-18 8960
有效时间和刷新时间都是固定的 1、token 的有效时间是说签发的 token 仅在 ttl 时间内可以用来正常使用 (鉴权,获取用户信息等操作),过了这个有效时间后,改 token 将被废弃,放入黑名单,路由间件鉴权也将会失败。 2、刷新时间是指在 refresh_ttl 时间内,你可以使用之前签发的 token (此时已经失效了) 来换取一个新的 token,新的 token 的有效时间还是 ttl。后续的鉴权验证需要使用新的 token 才能正常通过。 用之前即将过期的 t..
如何对登录token有效期控制,前端控制和后端控制
LOxia的博客
08-04 5400
如何对登录token有效期控制,前端控制和后端控制
Springboot+Shiro+jwt+Redis+Mybatis 有效期Token刷新方案.zip
02-04
当JWT的有效期即将过期时,可以通过刷新令牌的方式延长其有效期,提高用户体验。 Redis是一个高性能的键值数据库,常用于缓存和会话管理。在这里,Redis用于存储和管理JWT刷新令牌,以便在JWT到期前快速刷新,而...
小程序token有效期_微信小程序用户授权,以及判断登录是否过期的方法
weixin_39989215的博客
12-19 8285
初始界面:判断用户是否过期(如果未过期则重新登录):获取用户信息:获取用户的信息并在前台显示:主要实现两个功能:①判断登录是否过期,如果过期则就重新登录,如果没过期就提示未过期②获取用户的信息,并在前台显示index.wxml登录登录是否过期点击授权{{city}}{{country}}{{nickName}}{{province}}index.js//index.js//获取应用实例const ...
前端token值时效性问题怎么解决?
11-15
因为token值每次都是动态获取的且是有有效期的,token值设置有效期是为了防止token泄露 解决办法:在每次发送带token的请求接口前,先在请求拦截器获取token,然后在响应拦截器将刷新获取到的token值更新到需要测试的接口头文件
如何延长token有效期
09-22
2. 刷新token:当用户在token有效期内进行正常操作时,可以通过刷新token的方式延长其有效期。具体操作可以是在每次请求检查token有效期,如果快要过期了,就发送一个刷新token的请求,获取一个新的有效token,...
token有效期是多久
05-30
token有效期指的是一个身份验证令牌在一定时间内的有效期限制。不同的系统和应用程序会设置不同的token有效期,一般来说,token有效期会根据安全性需求和用户体验做出平衡。一些应用程序可能会将token有效期设置...
编程校验token有效性
Wangyunqian_piu的博客
11-05 2342
2021SC@SDUSC 每次访问接口的时候都需要验证传递token的有效性,常规的办法就是在每个接口判断token的有效性,但是如果在较大的项目有太多接口的情况下,每次都进行token的校验会太过麻烦。所以写出程序进行编程校验token有效性。 首先,获取request传递的token public class TokenUtils { public static String getTokenByRequest(HttpServletRequest request) {
JWT 使用入门(二)token有效期
qq_37534947的博客
10-12 4647
生成token,设置有效时间1分钟,其密钥设置为"itcast"注意签发时间需要小于过期时间
通过AOP编程思想判断token的有效性
。。。。。
04-22 2892
问题描述: 每次访问接口的时候都需要验证传递token的有效性,常规的办法就是在每个接口判断token的有效性,但如果接口个数比较多,那么就会增加开发人员编写代码的工作量。所以考虑是否有一种方法可以省去每次接口判断token的有效性的代码。其实这个需求与spring管理service层的事物是一样的。 解决方案: 采用AOP的编程思想,通过@ControllerAdvice...
LiveGBS流媒体平台GB/T28181功能-如何设置token有效期有效时间接口调用token的有效时长动态设置
青柿视频流媒体的博客
07-19 391
token_key , 每次启动服务的时候,都会生成一个新的key。如不配置固定的, 重启之后之前获取的token都会无效。配置后需重启LiveCMS后生效。配置 token_timeout,默认的有效期是 604800,可以在livecms.ini 里面配置有效期单位(秒),配置后需重启LiveCMS后生效。调用登陆接口后,会获得一个token,默认的有效期是多少呢?livecms.ini -> [http] -> token_key=随机字符串。,可以传递Token 超时(秒)
LiveGBS流媒体平台GB/T28181常见问题-TOKEN有效期是多久如何设置token有效期StreamToken和URLToken
青柿视频流媒体的博客
07-26 575
用于URLToken加密默认不用配置token_key , 每次启动服务的时候,都会生成一个新的key。如不配置固定的, 重启之后之前获取的token都会无效。配置后需重启LiveCMS后生效。livecms.ini -> [http] -> token_key=随机字符串[http];token的加密字符串,默认每次启动服务随机。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

结果才重要

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值