JWT的双token(access_token+refresh_token)授权和续期

已于 2024-10-22 13:57:56 修改
阅读量2.3k 收藏 9
点赞数 2
分类专栏: java springboot 文章标签: springboot
于 2024-10-22 13:56:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67560393/article/details/143156382
版权

微服务架构中,JWT认证方案中,用户登录成功后,后端会生成一个JWT格式的access_token并发送给前端。前端接收后,会将此access_token安全地存储在浏览器的LocalStorage中,以便在后续请求中作为身份认证的依据。

每次API请求时,前端都会将access_token附加在请求头中发送给后端,后端则通过过滤器验证其有效性和未过期状态。然而,鉴于access_token通常包含用户敏感信息且为了安全考虑设置较短的过期时间,这可能导致用户在长时间使用应用时频繁遇到登录过期的问题,特别是在进行长时间操作如填写复杂表单时,如在线考试。

引入refresh_token实现自动续期

为了解决上述问题,通常引入refresh_token机制。refresh_token是一个长期有效的令牌,与access_token一同在用户初次认证时由后端生成并返回给前端。refresh_token应当被安全地存储在客户端,其重要性等同于用户密码。

工作原理

  1. 初次认证:用户登录成功,后端生成access_tokenrefresh_tokenaccess_token用于后续的API访问,而refresh_token则用于在access_token过期时请求新的access_token

  2. API访问:前端携带access_token访问后端资源,后端验证其有效性。若access_token未过期,则正常处理请求;若已过期,则返回一个特定的错误码,提示前端使用refresh_token刷新access_token

  3. 自动续期:前端捕捉到access_token过期的错误码后,在用户无感知的情况下,使用refresh_token向后端请求新的access_token。成功获取后,前端更新本地的access_token,并继续处理之前的请求或允许用户继续操作。

  4. 安全性与策略

    • refresh_token应当设置较长的过期时间,但并非永久有效,以防止长时间未使用账号的风险。

    • 当用户登出或检测到潜在的安全风险时,注销旧的token,使 access_token 和 refresh_token 失效,同时清空客户端的 access_token 和 refresh_toke。

    • refresh_token的使用应受频率限制,防止滥用。

当然为了更安全,refresh_token其实也可以存储在后端,比如将其存储在redis的中kv中

5步实现Spring Boot中的Tokenaccess_token + refresh_token授权续期
java专栏
11-03 3204
通过今天的介绍,相信你已经掌握了如何在Spring Boot项目中实现基于JWTTokenaccess_token + refresh_token授权续期功能。Redis的使用使得Token管理更加灵活高效,希望这篇文章能够帮助你在未来的开发中更加得心应手。如果你有任何问题或建议,欢迎在评论区留言,让我们一起交流,共同进步!
一文精通JWT Token、ID TokenAccess TokenRefresh Token
FeelTouch Labs
02-21 1775
用于授权访问资源,任何 Bearer 持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密 key。一个 Bearer 代表授权范围、有效期,以及其他授权事项;一个 Bearer 在存储传输过程中应当防止泄露,需实现 Transport Layer Security (TLS);一个 Bearer 有效期不能过长,过期后可用 Refresh Token 申请更
第十四: jwt token ,refresh token(二)
最新发布
小画家
03-27 165
ErrorUserNotLogin = errors.New("当前⽤用户未登录")中间件 Middlewears。gin框架使⽤用jwt
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1879
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌。
springSecurity-jwt:JWT access_tokenrefresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessTokenRefreshToken) version1太复杂,无法优化。 accessToken refreshToken流 安全登录处理流程 详细说明转到博客文章 JWT异常处理 安全异常处理(AuthenticationEntryPoint,AccessDeniedHandler) 仅使用AccessToken时 如果将AccessToken的有效时间设置得较长,则很方便,因为用户不需要频繁登录,但是只要有效时间长,恶意用户就可以窃取AccessToken,从而降低了安全性。 相反,如果将AccessToken的有效时间设置为较短时间,则安全性将提高,但由于用户频繁登录,其便利性将降低。 您可能会认为使JWT无效将不起作用,但是JWT只能在设置的到期时间过去之后才到期。 我不能强迫它在那之前过期。 同时使用
JWT Token、ID TokenAccess TokenRefresh Token
乌龟的专栏
02-22 8369
JWT Token、ID TokenAccess TokenRefresh Token
jwtaccesstokenrefresh token详解
qq_37704442的博客
02-24 5151
jwtaccesstokenrefresh token详解
JWT refreshtoken 实践
weixin_34209406的博客
04-29 2543
Json web token (JWT), 根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
(4)go web开发之 JWT-Token认证机制Access TokenRefresh Tokenjwt-go 库介绍及在项目中使用
pythonstrat的博客
12-12 3918
介绍 jwt-go: 官方介绍:A go (or ‘golang’ for search engine friendliness) implementation of JSON Web Tokens 意思是 go 语言实现的 json web token。 github地址:https://github.com/dgrijalva/jwt-go 可以查看这篇讲解:https://www.bilibili.com/video/BV14p4y1x7kF?from=search&seid=269440
基于acess_tokenrefresh_token实现token续签
03-19
在现代Web应用中,安全身份验证授权是至关重要的。基于令牌(Token)的身份验证机制,特别是JSON Web TokenJWT),已经成为一种流行的选择。在这个场景下,“基于acess_tokenrefresh_token实现token续签”是一...
SpringBoot项目实战(009)Spring Security(三)JWT+Redis+RefreshToken
IT老吴的博客
07-17 3732
本章打算: 使用redis作为缓存。 使用refreshtokenaccesstoken 缓存角色信息到redis
django jwt token认证中rest_framework_jwtrefresh token有效期
hhhhh11的博客
09-11 5647
导读 jwt在业界已经广泛使用,但这篇文章不是用来介绍jwt的,也不是用来介绍rest_framework_jwt的,而是跟各位掰扯掰扯rest_framework_jwt中的refresh token功能,因为它很可能不是你想象中的refresh token哦 。 场景再现 在jwt鉴权过程中往往会使用accesstoken refreshtoken,顾名思义,refreshtoken是用来更后的token,如果项目中配置了refreshtoken过期时间一般就是指refreshtoken的有效期,
jwt无状态权限认证(RefreshToken)
zhouping118的博客
04-17 8180
1.背景 在开发pingss-sys脚手架(项目地址)时,需要在微服务分布式环境中管理权限。 上一篇写了基本的jwt无状态权限认证,但是存在两个问题 生成的token如果过期时间太短,则每次到期后,都需要用户重登录 生成的token如果过期时间太长,由于token签发后,在有效期内无法注销,存在安全隐患 本篇使用RefreshToken+redis增加安全性 2.思路 用户登录成功生...
JWT令牌(token)实现登录验证
weixin_43973161的博客
09-23 7757
就是在登陆操作之后由服务端返回两个tokenaccessTokenrefreshToken,在之后的验证登录态的操作中使用这两个token进行验证,其中accessToken的过期时间相当短,refreshToken的过期时间相对于accessToken而言相当长,且会不断的刷。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷token,那么这个刷token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
Jwt 4.1 Token简单封装
qq_30328407的博客
07-24 555
用户登录,系统返回两个令牌,AccessTokenRefreshTokenAccessToken是资源访问令牌,有效期较短;为避免在使用JWT的时候,Token过期后,会自动退出系统回到登录页面,最好是采用Token的机制;Jwt4.0以上版本的封装网上的参考比较少,在这里,提供一份简单的封装,至于令牌的具体实现,后面再陆续分享。测试类文件app/admin/controller/JwtTest.php。前提条件PHP7.4版本及以上,lcobucci/jwt4.1.5。...
springboot集成JWTtoken
weixin_74093287的博客
08-05 2570
(3)验证获取到的refreshToken是否合法,不合法,则accessToken为无效token(此处无效token单指自己编写,不是后端生成的token),不对accessToken进行更操作,合法则重生成accessToken。3,不直接将refreshToken存储到浏览器上,而是将其存储到accessToken的载荷里,后端通过获取accessToken的载荷内容获取到refreshToken,防止refreshToken被盗取。(4)通过该密钥去判断accessToken是否过期。
PyJWT 登录鉴权最佳实践【Refresh Token
AI全栈 和 IT 编程相关分享
03-14 2100
JWT规定的协议的格式由三部分组成:头部(Header)、负载(Payload)签名(Signature)。
JWTRefreshToken的应用场景及刷token的具体实现思路
热门推荐
isFuong的博客
03-17 1万+
JWT token中,refreshToken的作用主要是避免token过期时,前端用户突然退出登录产生不良体验。 试想,如果你正访问某基于jwt token机制的网站,该网站token过期时间是24小时, 你在23小时59分前已经登录过了,现在你访问某页面时,正好处于token过期时间24小时的临界点, 这时token突然过期,你上一秒看视频正起劲儿呢,下一秒就让你重登录了,你说气不气? 这时候如果有一个refreshToken,虽然正式的token过期了,但前端却可以拿这个refreshTo
JWT中的refresh_token
dskwe的专栏
01-10 1万+
参考链接: https://github.com/tymondesigns/jwt-auth/issues/186 https://github.com/tymondesigns/jwt-auth/issues/11利用JWT处理过期: 1.在普通路径下请求时如果token过期,则客户端再次发出一个请求给服务器到一个设定的refresh路径 2.在该路径下采用middleware = ‘jw
rest_framework_jwt 如何使用refresh token进行token续期
06-09
使用 `rest_framework_jwt` 进行 token 续期需要执行以下步骤: 1. 在 `settings.py` 中添加 `JWT_ALLOW_REFRESH` 配置项: ```python JWT_AUTH = { # ... 其他配置项 ... 'JWT_ALLOW_REFRESH': True, 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7), } ``` 其中,`JWT_ALLOW_REFRESH` 配置项表示是否允许使用 refresh token 进行 token 续期,`JWT_REFRESH_EXPIRATION_DELTA` 配置项表示 refresh token 的有效期,这里设置为 7 天。 2. 在 `urls.py` 中添加 `refresh_jwt_token` 视图的路由: ```python from rest_framework_jwt.views import refresh_jwt_token urlpatterns = [ # ... 其他路由 ... path('api/token/refresh/', refresh_jwt_token), ] ``` 3. 在前端代码中,当 token 过期后,使用 refresh token 进行 token 续期。示例代码如下: ```javascript const refreshToken = localStorage.getItem('refreshToken'); if (refreshToken) { fetch('/api/token/refresh/', { method: 'POST', headers: { 'Content-Type': 'application/json', }, body: JSON.stringify({ refresh: refreshToken }), }) .then((response) => response.json()) .then((data) => { localStorage.setItem('accessToken', data.access); localStorage.setItem('refreshToken', data.refresh); }) .catch((error) => { console.error('Failed to refresh token', error); }); } else { console.error('No refresh token found'); } ``` 在上面的代码中,我们首先从本地存储中获取 refresh token,然后使用 `fetch` 发送 POST 请求到 `/api/token/refresh/` 视图,将 refresh token 作为请求体的 `refresh` 参数。在成功获取到access token refresh token 后,我们将它们保存到本地存储中。 希望这可以帮助你理解如何使用 `rest_framework_jwt` 进行 token 续期
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值