双 Token 认证机制详解——原理、实现及代码示例

最新推荐文章于 2025-03-17 19:41:01 发布
最新推荐文章于 2025-03-17 19:41:01 发布
阅读量1.2k 收藏 7
点赞数 19
文章标签: 服务器 java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61786208/article/details/145776231
版权

在现代 Web 开发中,Token 认证 是最常见的身份验证方式之一。相比于传统的 Session 认证,Token 认证具有更高的安全性和可扩展性。而 双 Token 认证(Access Token + Refresh Token) 进一步解决了 Token 认证可能面临的安全问题,例如 Token 过期、频繁重新登录等。

本篇博客将详细介绍双 Token 认证的概念、工作流程、代码实现,并分析其优缺点。

一、为什么需要双 Token 认证?

单 Token 认证(通常是 JWT)存在几个主要问题:

  1. Token 过期后需要重新登录

    • 如果 Token 过期,用户需要重新输入用户名和密码登录,影响用户体验。

  2. 长期有效的 Token 安全性低

    • 为了减少用户频繁登录,可以设定一个长期有效的 Token,但如果 Token 被盗,将导致安全隐患。

  3. Token 不能轻易撤销

    • 由于 JWT 是无状态的,一旦生成无法在服务器端主动失效,导致无法撤销已泄露的 Token。

双 Token 认证 通过 Access Token + Refresh Token 解决了这些问题:

  • Access Token(短时令牌):
    • 用于访问受保护的 API,生命周期较短(如 15~30 分钟)。
  • Refresh Token(刷新令牌):
    • 用于获取新的 Access Token,生命周期较长(如 7 天或 30 天)。
    • 仅在服务器端存储并验证,不能用于访问 API。

二、双 Token 认证的工作流程

1. 用户登录并获取 Token

用户使用 用户名 + 密码 进行身份验证,服务器返回:

  • 一个短期有效的 Access Token(用于访问 API)。
  • 一个长期有效的 Refresh Token(用于获取新的 Access Token)。
客户端请求:
POST /api/auth/login
{
  "username": "user1",
  "password": "password123"
}

服务器返回:
{
  "accessToken": "eyJhbGciOiJIUzI1NiIsIn...",
  "refreshToken": "g1a2b3c4d5e6f7g8h9i0"
}

2. 访问受保护 API

  • 客户端每次访问受保护的 API 时,都会携带 Access Token 作为 Authorization 头部。
  • 服务器验证 Token 是否有效,如果有效,则返回数据,否则返回 401 未授权。

3. Access Token 过期,使用 Refresh Token 重新获取

  • 如果 Access Token 过期,客户端使用 Refresh Token 请求新的 Access Token。
  • 服务器验证 Refresh Token 的有效性:
    • 有效:返回新的 Access Token,并可以选择返回新的 Refresh Token。
    • 无效(如 Refresh Token 过期):需要重新登录。
POST /api/auth/refresh
{
  "refreshToken": "g1a2b3c4d5e6f7g8h9i0"
}

服务器返回:
{
  "accessToken": "new-access-token...",
  "refreshToken": "new-refresh-token..."
}

三、代码实现(Spring Boot + JWT)

1. JWT工具类

import io.jsonwebtoken.*;
import java.util.Date;

public class JwtUtil {
    private static final String SECRET_KEY = "my-secret-key";
    private static final long ACCESS_TOKEN_EXPIRATION = 15 * 60 * 1000; // 15分钟
    private static final long REFRESH_TOKEN_EXPIRATION = 7 * 24 * 60 * 60 * 1000; // 7天

    // 生成 Access Token
    public static String generateAccessToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + ACCESS_TOKEN_EXPIRATION))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    // 生成 Refresh Token
    public static String generateRefreshToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + REFRESH_TOKEN_EXPIRATION))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    // 解析 Token
    public static Claims parseToken(String token) throws ExpiredJwtException {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
    }
}

2.用户登录,返回token

@PostMapping("/login")
public ResponseEntity<?> login(@RequestBody LoginRequest request) {
    if (isValidUser(request.getUsername(), request.getPassword())) {
        String accessToken = JwtUtil.generateAccessToken(request.getUsername());
        String refreshToken = JwtUtil.generateRefreshToken(request.getUsername());

        return ResponseEntity.ok(new AuthResponse(accessToken, refreshToken));
    }
    return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("Invalid credentials");
}

4.刷新token

@PostMapping("/refresh")
public ResponseEntity<?> refresh(@RequestBody RefreshRequest request) {
    try {
        Claims claims = JwtUtil.parseToken(request.getRefreshToken());
        String newAccessToken = JwtUtil.generateAccessToken(claims.getSubject());
        return ResponseEntity.ok(new AuthResponse(newAccessToken, request.getRefreshToken()));
    } catch (ExpiredJwtException e) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("Refresh Token 已过期");
    }
}

四、双 Token 认证的优势

  1. 安全性更高

    • Access Token 过期较快,即使被盗,影响范围有限。
    • Refresh Token 仅存储在服务器端,不能直接访问 API,提高安全性。

  2. 提升用户体验

    • Access Token 过期后,用户无需重新登录,只需使用 Refresh Token 自动刷新。

  3. 更灵活的 Token 管理

    • 服务器可以在 Refresh Token 失效时让用户重新登录,以提高安全性。

五、总结

  • Access Token 适用于短期访问,过期后需要使用 Refresh Token 获取新 Token。
  • Refresh Token 只应存储在服务器端,避免暴露给前端。
  • 双 Token 认证 提供更高的安全性,同时减少用户的重复登录,提高体验。

这种方式广泛应用于现代 Web 开发,尤其是 SPA(单页应用)、移动应用和微服务架构中。如果你的系统需要更高的安全性,建议结合 Redis 或数据库存储 Refresh Token 以便进行主动撤销。

小江-
关注
App后台开发运维和架构实践学习总结(10)——基于Java-JWT前后端token认证实战使用详解
科技D人生
04-14 7388
一、什么是JWT?了解JWT,认知JWT 首先jwt其实是三个英语单词JSON Web Token的缩写。通过全名你可能就有一个基本的认知了。token一般都是用来认证的,比如我们系统中常用的用户登录token可以用来认证该用户是否登录。jwt也是经常作为一种安全的token使用。JWT的定义:  JWT是一种用于方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(...
springboot集成JWT之token
weixin_74093287的博客
08-05 2562
(3)验证获取到的refreshToken是否合法,不合法,则accessToken为无效token(此处无效token单指自己编写,不是后端生成的token),不对accessToken进行更新操作,合法则重新生成新的accessToken。3,不直接将refreshToken存储到浏览器上,而是将其存储到accessToken的载荷里,后端通过获取accessToken的载荷内容获取到refreshToken,防止refreshToken被盗取。(4)通过该密钥去判断accessToken是否过期。
token!!!
winks3的博客
10-23 1994
超级管理员下线,用户角色修改的时候,避免单token无感知,及时刷新tokentoken系统通常用于提高安全性和分离不同级别的权限。里面主要有两个token业务token(Access Token):这是用户用来直接访问资源的token,他的特点是有效期比较短,一旦过期,用户需要重新认证来获取token,这样做的好处是即使我们业务token泄露了,攻击者进行不当操作的时间有限。
Token机制解析与作用
最新发布
Sumo9的博客
03-17 597
Token是一种身份验证机制,通常用于增强安全性或优化用户体验。访问令牌(Access Token):短有效期的令牌,用于直接访问受保护的资源(如 API、用户数据等)。刷新令牌(Refresh Token):长有效期的令牌,用于在访问令牌过期后,通过安全的方式获取新的访问令牌,而无需用户重新登录。
Token机制(Access Token + Refresh Token)安全高效
liyunhua258的博客
02-27 1788
代码Token机制(Access Token + Refresh Token)安全高效。
为什么使用token无感刷新,如何实现token无感刷新
weixin_59244784的博客
01-08 615
为什么使用token无感刷新,如何实现token无感刷新
山东大学项目实训(二十五)—— 结合请求拦截和响应拦截实现token机制
long99920的博客
05-08 1347
实现token,解决token过期存在的并发请求问题
【Vue3项目】登录注册--Token机制
aDiaoYa_的博客
08-12 2354
最近同项目的伙伴告诉我们一个“新词汇”——Token登录机制,emmmmm,确实没了解过,据说是在实现token长期有效的同时,防止token被第三方盗用,提高用户信息的安全性。于是,在了解了大概之后,我找了很多篇文章去学习Token实现过程,总结如下。一般我们实现用户登录是:用户登录向服务端发送账号密码信息,登录失败返回客户端重新填写并发送用户信息;登录成功服务端生成token并返回token给客户端,客户端将token存本地。那么问题来了,token的有效期应该是多久呢?
JWT令牌(token实现登录验证
weixin_43973161的博客
09-23 7699
就是在登陆操作之后由服务端返回两个token:accessToken和refreshToken,在之后的验证登录态的操作中使用这两个token进行验证,其中accessToken的过期时间相当短,refreshToken的过期时间相对于accessToken而言相当长,且会不断的刷新。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
token方案
奔跑的菜鸡
08-24 481
token方案
token校验机制
marko_zheng的博客
11-15 1万+
token校验机制 什么是token token是客户端登陆的时候由服务端生成,之后每次请求都需要携带token进行请求。校验用户身份呢的作用 为什么使用token 减少敏感信息的传递 可以校验用户身份的准确性以及有效期 单token登录流程以及请求校验流程 注意 token是使用base64的形式进行加密的 是有一部分存储在客户端中,所以,token中不建议存放敏感信息 token校验机制 场景设想: ​ 用户正在app或者应用中操作 token突然过期,此时用户不得不返回登陆界面,重新进行一
token实现token超时策略示例
09-04
用于restful的app应用无状态无sesion登录示例,需要的朋友可以参考下
编译原理:状态图详解与算法实现——从词法到代码优化
在整个课程中,教师闫健恩提供了丰富的参考资料,涵盖了多本经典的编译原理教材,如《编译原理》(Aho等著)、《编译原理及实践》(Louden著)等,这些教材为学习者提供了深入理解和实践的基础。课程还包括对语义...
跟着问题学16——seq2seq详解代码实战
weixin_42251091的博客
12-14 1977
在模型训练和预测时,如果输入是有前一个输出向量的,预测时可以直接使用前一个预测出来的输出值,但是训练时一般使用的是真实文本的输出向量,不然一旦预测错误一个输出值,后面的也都将会受到影响,所谓一步错,步步错。通过上文可以知道编码器和解码器之间有一个共享的中间向量(上图中的向量c)来传递信息,而且它的长度是固定的,意味着编码器要将整个序列的信息压缩进一个固定长度的向量中去。Encoder-Decoder强调的是模型设计(编码-解码的一个过程),Seq2Seq强调的是任务类型(序列到序列的问题)。
【模型精调LoRA】LoRA 低秩适应微调的工作原理代码实现示例 What is LoRA? Low-Rank Adaptation for finetuning LLMs EXPLAINED
AI天才研究院
03-11 1586
LoRA 是一种有效的大模型微调技术,可以提高推理效率并保持良好的性能。LoRA 在许多下游任务中都取得了良好的效果,包括文本分类、机器翻译和问答。
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
全方位解析 Token实现无感刷新:用 Spring Boot + Vue + Redis 构建高安全认证体系
小菜的博客
12-14 2053
访问Token(Access Token)和刷新Token(Refresh Token),来分别处理认证与授权问题。Token认证机制为Web应用提供了更强的安全性和更好的用户体验。通过合理的配置和管理,访问Token和刷新Token分别承担不同的功能,有效防止了Token被长期滥用的风险,并减少了用户频繁登录的困扰。尽管实现较为复杂,但其带来的好处是显而易见的。通过本文的Spring Boot与Vue示例,希望开发者能够更好地理解并实施Token认证机制,提升应用的安全性与稳定性。!!
Token方案实现Token自动续期(基于springboot+vue前后端分离项目)
qq_44286009的博客
06-10 4117
jwt理论介绍springboot+vue项目中使用jwt实现登录认证本篇文章的代码是在springboot+vue项目中使用jwt实现登录认证的基础上实现Token自动续期的功能。token解决方案是一种用于增强用户登录安全性和提升用户体验的认证机制。它主要涉及两个令牌:访问令牌(accessToken)和刷新令牌(refreshToken)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值