登录生成双token的理解

已于 2023-04-21 17:12:46 修改
阅读量4.6k 收藏 27
点赞数 2
文章标签: node.js javascript 前端 express
于 2023-04-21 17:02:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64479814/article/details/130292339
版权

为什么需要双token?

token是为了防止用户信息传来传去导致被劫持,但是假如token没有过期时间或者过期很长,那么显然token被劫持还是不安全的,token就失去了意义。如果token时间短的话,安全性相对提高,但是需要频繁登录,频繁需要服务器返回,对服务器性能是一种浪费,为了解决安全性问题和用户频繁登录问题,采用双token来设计。

双token的介绍和优点

介绍

双token机制是为了提高系统安全性而采用的一种措施。它指的是在登录成功后,会生成两个token返回给客户端:

- Access Token:用于访问受限资源,有一定的生命周期,过期需要重新获取。
- Refresh Token:用于刷新Access Token,生命周期较长

优点

1. 短期Access Token提高安全性,减小被盗用的时间窗口
2. 长期Refresh Token方便免登陆续期,优化用户体验
3. 两级验证机制,Access Token遭破解不会立即导致全部资源被盗用

具体流程

1. 客户端使用用户名密码请求登录
2. 服务端验证成功后,生成Access Token和Refresh Token返回给客户端
3. 客户端在Access Token过期前使用它访问受限资源
4. Access Token过期后,客户端使用Refresh Token请求新的Access Token
5. 服务端验证Refresh Token成功后,生成新的Access Token返回
6. 客户端使用新的Access Token继续访问资源
7. Refresh Token过期时,需要客户端重新登录获取新的Access Token和Refresh Token

实现步骤

1. 生成Access Token和Refresh Token,存储Refresh Token
2. 设置不同的过期时间,如Access Token 30分钟,Refresh Token 7天
3. 在Access Token过期时验证Refresh Token是否过期以及合法性
4. 如果通过验证,根据Refresh Token生成新的Access Token返回
5. 如果Refresh Token也过期,返回错误码提示重新登录

代码:

const jwt = require('jsonwebtoken');
const secretKey = 'secret';   // access token密钥
const refreshSecret = 'refreshSecret'; // refresh token密钥

function getAccessToken(req, res) {
  let { username, password } = req.body;   // 获取登录表单数据
  if (username && password) {             // 校验用户名和密码
    let accessToken = jwt.sign({ username }, secretKey, { expiresIn: '30m' });  
                                            // 生成30分钟过期access token
    let refreshToken = jwt.sign({ username }, refreshSecret);  
                                           // 生成无过期refresh token
    res.json({                           // 返回access token和refresh token
      status: 'ok',
      accessToken,  
      refreshToken
    })
  } else {
    res.json({
      status: 'error',
      message: '用户名或密码不能为空!'   // 登录表单校验失败,返回错误信息
    })
  }
}  

function refreshToken(req, res) {    // refresh接口
  let { refreshToken } = req.body;   // 获取refresh token
  if (refreshToken) {                // 校验refresh token
    let decoded = jwt.verify(refreshToken, refreshSecret);  
                                         // 验证refresh token
    let accessToken = jwt.sign({ username: decoded.username }, secretKey, { expiresIn: '30m' });  
                                            // 生成新的30分钟access token  
    res.json({
      status: 'ok',
      accessToken    // 返回新的access token
    })
  } else {
    res.json({
      status: 'error',
      message: '刷新令牌不能为空!'   // refresh token校验失败,返回错误信息
    }) 
  }
}  

app.post('/login', getAccessToken);   // 登录接口,获取token
app.post('/refresh', refreshToken);   // 刷新接口,刷新access token

.小汤
关注
  • 2
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
模仿某B长期登录有效之Token机制
weixin_53690059的博客
03-15 921
如需demo案例请私信我。小程序地址:https://github.com/CaseOfShe/school演示地址:https://www.bilibili.com/video/BV1q3411g71P。
token实现token超时策略示例
09-04
用于restful的app应用无状态无sesion登录示例,需要的朋友可以参考下
token 保持登录机制前端拦截实践
皮蛋很白的博客
10-15 1993
token 机制 关于**“ token 机制”**指的是使用户的登录状态在活跃期间保持有效的一种安全机制。 一般需要用户登录的系统为了校验用户的身份或登陆状态,会在用户登录时由服务器生成一个存储了或指向用户信息的 token,返回给客户端存储,这个 token 称为 access_token。 在请求其它接口的时候将 access_token 发送给服务器(通过 Header 或 Cookie)。 服务器根据 access_token 获取到用户信息,作为鉴权的依据。 而为了避免 token 被用户
后端token登陆快速入门:token实现登陆,判断登陆过期
最新发布
Old_Secretary的博客
04-14 1005
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用token来解决。附带token流程和示例代码
为什么要token
cs_knight的博客
01-19 781
我设计的token的流程即在用户登录时返回两个token,称为access_token和refresh_token,访问接口时,携带access_token,当access_token过期后,让前端携带refresh_token请求刷新token的接口获取新的两个tokentoken的缺点也是有的,access_token在得到刷新的结果前会有一段时间处于不可用的状态,为避免这种情况,前端可以主动判断token过期时间(由后台在返回token时返回),如果时间临近了,就主动去发送刷新请求。
面试问题6
qq_34526237的博客
02-13 466
面试问题
token校验机制
热门推荐
marko_zheng的博客
11-15 1万+
token校验机制 什么是token token是客户端登陆的时候由服务端生成,之后每次请求都需要携带token进行请求。校验用户身份呢的作用 为什么使用token 减少敏感信息的传递 可以校验用户身份的准确性以及有效期 单token登录流程以及请求校验流程 注意 token是使用base64的形式进行加密的 是有一部分存储在客户端中,所以,token中不建议存放敏感信息 token校验机制 场景设想: ​ 用户正在app或者应用中操作 token突然过期,此时用户不得不返回登陆界面,重新进行一
用户登录设计之token设计
CRMEB小程序商城的博客
12-02 5147
背景 笔者在做的一个项目之前的登录接口是实习生写的,登录设计就是简单的提交用户名密码获取token,然后token的过期时间巨长是30天,于是乎另一位工作年限长一点的同事修改了代码,变成了登录获取两个token: 1.accessToken: 真正用来获取数据的权限 2.refreshToken: 用来获取accessToken 为什么需要token? 总所周知,token是为了防止用户信息传来传去导致被劫持,但是假如token没有过期时间或者过期很长,那么显然token被劫持还是不安全的,token
spring cloud分布式项目 结合vue2 实现token 单点登陆 详细代码实现
qq_60614034的博客
04-05 1133
本项目采用阿里巴巴的nacos进行分布式项目搭建,本文只讲单点登陆的token实现,需要会搭项目的同学才能看的懂。对security不熟悉的可以先看我之前的两篇spring security 前后端分离 进行用户验证 权限登陆的实现代码(看不懂??直接cv)基于spring security实现vue2前后端分离的token刷新机制(完整代码详解,含金量拉满!
ruoyi-cloud认证-token改造为token
r562253897的专栏
07-28 1075
Token在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。token一般是指access_token和refresh_token。至于为什么改造为token,以及token有哪些好处?...
山东大学项目实训(二十五)—— 结合请求拦截和响应拦截实现token机制
long99920的博客
05-08 1223
实现token,解决token过期存在的并发请求问题
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
github 生成token的方法图解
10-14
主要介绍了github 生成token的方法,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧
Android token生成和上传
11-18
Android token生成和上传(七牛),主要是上传token生成部分。七牛里面没有Android部分的实例代码,写完之后共享给大家。避免再走弯路。
PyJWT生成token
08-03
使用Pyjwt在django中创建和认证token,用于在移动端来认证和用户,本文通过自己编写模型来实现根据用户来生成token,在请求头中添加Authentication来进行认证,保持登录状态。可以直接使用,编写过程可以查看本人...
rest-framework生成token
08-03
使用rest-framework在django中创建和认证token,用于在移动端来认证和用户,本文通过自己编写模型来实现根据用户来生成token,在请求头中添加Authentication来进行认证,保持登录状态。可以直接使用,编写过程可以...
【Vue3项目】登录注册--Token机制
aDiaoYa_的博客
08-12 1594
最近同项目的伙伴告诉我们一个“新词汇”——Token登录机制,emmmmm,确实没了解过,据说是在实现token长期有效的同时,防止token被第三方盗用,提高用户信息的安全性。于是,在了解了大概之后,我找了很多篇文章去学习Token的实现过程,总结如下。一般我们实现用户登录是:用户登录向服务端发送账号密码信息,登录失败返回客户端重新填写并发送用户信息;登录成功服务端生成token并返回token给客户端,客户端将token存本地。那么问题来了,token的有效期应该是多久呢?
token方案
奔跑的菜鸡
08-24 401
token方案
token(同一账号多端同时登录&同一账号只能在一个设备登录
weixin_44678368的博客
12-31 2905
token(同一账号多端同时登录&同一账号只能在一个设备登录
java 用户登录生成jwt token
05-21
生成 JWT Token 的步骤如下: 1. 创建一个 JWT 的 header,包括算法类型和 token 类型信息 ``` Map<String, Object> header = new HashMap<>(); header.put("alg", "HS256"); header.put("typ", "JWT"); ``` 2. 创建一个 JWT 的 payload,包括用户信息和过期时间等信息 ``` Map<String, Object> claims = new HashMap<>(); claims.put("username", "your_username"); claims.put("exp", new Date(System.currentTimeMillis() + 3600 * 1000)); ``` 3. 生成 JWT Token ``` String token = Jwts.builder() .setHeader(header) .setClaims(claims) .signWith(SignatureAlgorithm.HS256, "your_secret_key") .compact(); ``` 其中,`your_secret_key` 是用来签名和验证 token 的密钥,需要妥善保管。 完整的代码示例: ``` import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; import java.util.HashMap; import java.util.Map; public class JwtUtils { private static final String SECRET_KEY = "your_secret_key"; public static String generateToken(String username) { Map<String, Object> header = new HashMap<>(); header.put("alg", "HS256"); header.put("typ", "JWT"); Map<String, Object> claims = new HashMap<>(); claims.put("username", username); claims.put("exp", new Date(System.currentTimeMillis() + 3600 * 1000)); return Jwts.builder() .setHeader(header) .setClaims(claims) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); } public static void main(String[] args) { String token = generateToken("test_user"); System.out.println(token); } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值