访问令牌(AccessToken)与刷新令牌(RefreshToken)

最新推荐文章于 2024-08-07 08:30:00 发布
最新推荐文章于 2024-08-07 08:30:00 发布
阅读量1w 收藏 29
点赞数 10
分类专栏: 个人随笔 文章标签: .net c# 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengke2815/article/details/124778114
版权

源码点我

闲着无聊的我又来了,今天介绍一下访问令牌(AccessToken)与刷新令牌(RefreshToken)。

最近公司来了几个Java,然后空气顿时充满了学术的氛围,每天都弥漫着垃圾回收,内存分配,堆栈等等各种技术问题的讨论,竖起了我的小耳朵,我偶然间听到了这个Token过期的问题,今天来说一说。

众所周知,JWT是我们常用的Token类型之一,但是JWT是无状态的,所有的信息,包括超时时间都会编码在JWT中。如果Token设置的超时时间过长会显得有些不安全,如果设置的过短则必须频繁的登录。

在IdentityServer4中,我们可以通过设置AllowOfflineAccess = true为Client设置一个刷新令牌,该令牌可以在Token失效返回401的时候去访问刷新接口,从而获得一个新的访问令牌和一个刷新令牌,但是我们的项目中好像没有用IdentityServer4啊,往下看。

1、打开我们之前的NET6.API项目,我们在LoginView中增加一个字段RefreshToken,并且在登录的时候生成一个Guid(你可以随意定义)作为RefreshToken返回给客户端,通过cache或者redis将该RefreshToken缓存起来,设置一个较长的缓存时间,例如30天。
在这里插入图片描述
在这里插入图片描述
2、调用登录接口,发现除了AccessToken,RefreshToken也返回了。
在这里插入图片描述
3、接着我们新增一个接口,叫做刷新访问令牌。

 /// <summary>
        /// 刷新访问令牌
        /// </summary>
        /// <param name="dto"></param>
        /// <returns></returns>
        [AllowAnonymous]
        [HttpPost("refresh")]
        [ProducesResponseType(typeof(LoginView), StatusCodes.Status200OK)]
        public async Task<IActionResult> RefreshAsync(RefreshTokenDto dto)
        {
            try
            {
                var jwtToken = new JwtSecurityTokenHandler().ReadJwtToken(dto.AccessToken);
                var userid = jwtToken.Claims.FirstOrDefault(a => a.Type == ClaimTypes.NameIdentifier)?.Value;
                var username = jwtToken.Claims.FirstOrDefault(a => a.Type == ClaimTypes.Name)?.Value;
                var refreshtoken = CacheHelper.Get<string>($"{CacheEnum.刷新令牌}_{userid}");
                if (refreshtoken == null) return Ok(JsonView("未找到该刷新令牌"));
                if (refreshtoken != dto.RefreshToken) return Ok(JsonView("刷新令牌不正确"));
                #region 签发JWT
                //生成一个新的刷新令牌
                refreshtoken = CommonFun.GUID;
                CacheHelper.Set($"{CacheEnum.刷新令牌}_{userid}", refreshtoken, TimeSpan.FromDays(30));
                var view = new LoginView
                {
                    Expires = DateTime.Now.AddDays(7),
                    RefreshToken = refreshtoken
                };
                var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_config["JwtSecurityKey"]));
                var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
                var token = new JwtSecurityToken(
                    issuer: "net6api.com",
                    audience: "net6api.com",
                    claims: jwtToken.Claims,
                    expires: view.Expires,
                    signingCredentials: creds);
                view.AccessToken = new JwtSecurityTokenHandler().WriteToken(token);
                return Ok(JsonView(view));
                #endregion
            }
            catch (Exception)
            {
                return Ok(JsonView("访问令牌解析失败"));
            }
        }

4、我们调用刷新访问令牌接口,传入旧的AccessToken和RefreshToken,发现接口已经可以成功返回了一组新的Token。
在这里插入图片描述
【注意】重点来了!重点来了!重点来了!因为无论是Token是失效还是过期,API返回的也都是401未授权状态,那么前端如何能知道当前的AccessToken是失效还是过期呢,我们可以通过以下手段来实现
打开Program,在AddAuthentication中新增一个JwtBearerEvents,用来监听Toke过期事件,并且往Header中添加一个自定义keyValu,然后我们调整Token的失效时间为5秒,再次尝试。
在这里插入图片描述
在这里插入图片描述
至此,前端可以通过Response中是否存在自定义Header来判断当前AccessToken是否过期。

前端逻辑如下:
调用login接口登录获取AccessToken和RefreshToken,然后各种调接口…
突然发现HTTPStateCode返回401,此时判断是否存在自定义Header,如果存在则调用refresh刷新Token,继续各种调接口…
如果不存在自定义Header,则重新调用login接口进行登录。
结束,继续摸鱼…

昨夜丶雨疏风骤.
关注
  • 10
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实现无感刷新token(看这一篇就够了)
weixin_57909742的博客
11-09 3843
无感知刷新Token是指,在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token的无感知刷新,用户可以无缝继续使用应用。如何判断Token是否过期?如何在Token过期时自动使用Refresh Token获取新的Access Token?下面将介绍如何实现无感知刷新Token的具体步骤。无感刷新Token技术是一种在客户端应用中自动刷新访问令牌的机制,它通过提供用户无感知的刷新操作,改善了用户体验,提高了安全性,同时减轻了服务端的负担。
accessTokenrefreshToken区别
Mr.绵羊的知识星球
09-01 2424
accessTokenrefreshToken关联和区别
jwt,accesstokenrefresh token详解
qq_37704442的博客
02-24 4623
jwt,accesstokenrefresh token详解
access_token VS refresh_token
RayPick的博客
11-29 6370
众所周知, 在 OAuth 2.0 授权协议中, 有两个令牌 token , 分别是 access_tokenrefresh_token, 为什么已经有了 access_token, 还需要 refresh_token 呢? 我们先看下面两者的介绍 access_token 访问令牌, 它是一个用来访问受保护资源的凭证 refresh_token 刷新令牌, 它是一个用来获取access token的凭证 下面是 OAuth 2.0 中的 token 工作流程图 回归主题, 这两个令牌的主要区别如下
springSecurity-jwt:JWT access_tokenrefresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessTokenRefreshToken) version1太复杂,无法优化。 accessToken refreshToken流 安全登录处理流程 详细说明转到博客文章 JWT异常处理 安全异常处理(AuthenticationEntryPoint,AccessDeniedHandler) 仅使用AccessToken时 如果将AccessToken的有效时间设置得较长,则很方便,因为用户不需要频繁登录,但是只要有效时间长,恶意用户就可以窃取AccessToken,从而降低了安全性。 相反,如果将AccessToken的有效时间设置为较短时间,则安全性将提高,但由于用户频繁登录,其便利性将降低。 您可能会认为使JWT无效将不起作用,但是JWT只能在设置的到期时间过去之后才到期。 我不能强迫它在那之前过期。 同时使用
访问令牌刷新令牌
yrsg666的博客
05-19 2647
没有刷新令牌 使用访问令牌发送API请求 如果访问令牌无效,则失败并要求用户重新进行身份验证 使用刷新令牌 使用访问令牌发送API请求 如果访问令牌无效,请尝试使用刷新令牌更新它 如果刷新请求通过,则更新访问令牌并重新发送初始API请求 如果刷新请求失败,请要求用户重新进行身份验证 令牌被攻击后 客户端缓存用户名和密码,容易受到黑客攻击,如果使用了token机制,就算黑客盗取了用户的access_tokenrefresh_token,只需重新登录,就可令原来的token失效。 如果访问令牌
Token设计:Access TokenRefresh Token
最新发布
常备不懈
08-07 801
在现代Web应用中,身份验证和授权是确保安全性的关键部分。Access TokenRefresh Token是用于这一过程的重要组件。
Access TokenRefresh Token
daobuxinzi的博客
02-09 3117
  access token 是在 Oauth2.0 协议中,客户端访问资源服务器的令牌(其实就是一段全局唯一的随机字符串)。拥有这个令牌代表着得到用户的授权。它里面包含哪些信息呢?答案是:   哪个用户 在什么时候 授权给哪个客户端 去做什么事情   对于 Oauth2.0 不了解的读者,请看我的另一篇文章:简单介绍 Oauth2.0 原理   这个授权是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个...
`AccessToken`和`RefreshToken`安全令牌
qq_31532979的博客
06-04 1286
`AccessToken`和`RefreshToken`安全令牌
spotify-refresh:从 Spotify 发送刷新令牌以获取新的访问令牌
06-24
refresh ( refreshToken , clientID , clientSecret , function ( err , res , body ) { if ( err ) return body = json . parse ( body ) console . log ( JSON . stringify ( body ) } ) 哪个会记录这样的...
基于acess_tokenrefresh_token实现token续签
03-19
在这个场景下,“基于acess_tokenrefresh_token实现token续签”是一个关键的过程,它涉及到用户登录、权限管理以及令牌的有效性维护。下面将详细阐述这个主题。 首先,我们需要理解`access_token`和`refresh_...
Oauth2.0(三):Access TokenRefresh Token
blowing00的专栏
02-28 3671
access token 是应用方访问资源服务器的接口时,需要提供的一个令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access token 泄露而带来的风险。 然而引入了有效期之后,应用方使用起来就不那么方便了。每当 ...
token accesstoken refreshtoken
09-28
access_tokenrefresh_token都是OAuth 2.0授权协议中使用的令牌access_token主要用于向资源服务器进行身份验证和访问资源,而refresh_token则用于获取新的access_tokenaccess_token具有较短的有效期,通常为...
Oauth2 accessToken访问令牌续期 不生成新accessToken
xuexishaguo的博客
01-16 2286
//accessToken访问令牌 续期 用户每进行一次业务操作,访问令牌过期时间往后延续20分钟 //accessToken从Authorization请求头中获取 OAuth2AccessToken oAuth2AccessToken = tokenServices.readAccessToken(accessToken); //根据oAuth2AccessToken 从redis中 ...
Web开发茶话会_accessTokenrefreshToken
wuxeek的博客
02-10 453
《Web开发茶话会》系列文章的专注于Web开发过程中的重点难点,采取:应用示例+分析+小试牛刀的模式,让读者先有个感性认知,再分析解释知识点,最后抛出一个两个问题,加深理解。此系列文既谈技术,也谈“风月”,请读者备好茶水。
access_tokenrefresh_token的区别
u014596024的博客
11-11 4160
access_token是调用授权关系接口的调用凭证,由于access_token有效期(目前为2个小时)较短,当access_token超时后,可以使用refresh_token进行刷新access_token刷新结果有两种: 1. 若access_token已超时,那么进行refresh_token会获取一个新的access_token,新的超时时间; 2. 若access_token未超时,那么进行refresh_token不会改变access_token,但超时时间会刷新,相当于续期access_
后端利用accessTokenrefreshToken无感刷新
没有翅膀的我们,只是随便认为不能飞而已
06-15 5703
项目初衷 以jwt(由header,payload和signature组成)为例,用户登录成功,后端返回accessToken。前端保存,请求接口携带,一切都是水到渠成的 可是在acessToken失效时,你正好请求一次接口,接口就挂了,可能你就跳到登录页了,用户体验也不好。我们希望虽然过期了,但是页面偷偷地刷新,不影响当前接口运行。如果你的方案是把accessToken的有效期设置地久一点,比如100年。你真的是个机智Boy,那设置jwt的意义何在。 方案 accessTokenrefreshToken
access_tokenrefresh_token的关系
wormtown的博客
09-03 690
问:为啥有access_token还要有refresh_token 答:因为要兼顾安全性和用户体验,access_token设置超时时间,保证安全性,用refresh_token保证用户体验。 问:什么时候会用refresh_token刷新access_token 答:refresh_token超时时间设置大于access_tokenaccess_token失效后,refresh_token还没有失效,这时候用户活跃操作就会触发refresh_token刷新access_token,这样就可以保证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值