禁用token及无感知更新token功能实现

最新推荐文章于 2023-06-26 16:08:59 发布
最新推荐文章于 2023-06-26 16:08:59 发布
阅读量909 收藏
点赞数
文章标签: flask python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qishaoawei/article/details/126129349
版权

禁用token

禁用token通俗的讲就是将登录后保存到浏览器上的token退出登录时也保存到redis里
然后利用钩子函数在每次请求前都判断一次,如果再次请求的token与redis里的token进行对比
如果两者一直说明token没有更新,很可能是token泄露被人恶意使用,
所以每次退出都要禁用token
紧接着强制登录后 实现禁用token
在项目内蓝图中创建

@user_dp.before_app_request
def gz():   #钩子函数 每次请求前都调用
    rep = reqparse.RequestParser()
    rep.add_argument('token', location='headers')
    args = rep.parse_args()
    token = args['token']
    payload = JwtTool().valid(token)  #解密token

    ## 放入钩子函数里验证token是否存在
    rds = SmsTool().rds  # 已经封装好的redis数据库信息
    is_exists = rds.exists('token_%s' % token)
    rds.close()
    if is_exists:
        g.uid = -1
    else:
        try:
            g.uid=payload['uid']
        except Exception as a:
            print(a)
            g.uid=0
      
def login(func):
    def warpper(*args,**kwargs):
        #判断用户是否登录
        uid=g.uid
        if uid==0:
            return jsonify({
                'code':403,
                'msg':'用户未登录'
            })
        elif uid==-1:          #验证token是否在redis里面
            return jsonify({
                'code':400,
                'msg':'token被禁用'
            })
        return func(*args,**kwargs)
    return warpper
    
#退出登录 前端退出登录先调用这个 然后再清空token
class TokenView(Resource):
    @login
    def post(self):
        rep = reqparse.RequestParser()
        rep.add_argument('token', location='headers')
        args = rep.parse_args()
        token = args['token']
        rds=SmsTool().rds    #已经封装好的redis数据库信息
        rds.set('token_%s'%token,'1',ex=3600)
        rds.close()
        return jsonify({
            'code':200,
            'msg':'退出成功'
        })

api.add_resource(TokenView,'/token')  #退出

无感知更新token

无感知更新token就是token的有效期不长才安全,就需要频繁的更新,让它自己更新就简单很多
在登录的蓝图中进行编写

@user_dp.before_app_request
def gz():
    rep = reqparse.RequestParser()
    rep.add_argument('token', location='headers')
    args = rep.parse_args()
    token = args['token']
    payload = JwtTool().valid(token)

    ## 放入钩子函数里验证token是否存在
    rds = SmsTool().rds  # 已经封装好的redis数据库信息
    is_exists = rds.exists('token_%s' % token)
    rds.close()
    if is_exists:
        g.uid = -1
    else:
        try:
            g.uid=payload['uid']
        except ExpiredSignatureError:
            g.uid=-2    #如果有其他的报错就是-2
        except Exception as a:
            print(a)
            g.uid=0
def login(func):
    def warpper(*args,**kwargs):
        #判断用户是否登录
        uid=g.uid
        if uid==0:
            return jsonify({
                'code':403,
                'msg':'用户未登录'
            })
        elif uid==-1:          #验证token是否在redis里面
            return jsonify({
                'code':400,
                'msg':'token被禁用'
            })
        elif uid==-2:     #验证是否已过期
            return jsonify({
                'code':666,
                'msg':'token已过期'
            })
        return func(*args,**kwargs)
    return warpper
    
class LoginView(Resource):  #登录
    def post(self):
        rep=reqparse.RequestParser()
        rep.add_argument('phone')
        rep.add_argument('password')
        args=rep.parse_args()
        user_info=UserModel2.query.filter(UserModel2.mobile==args['phone']).first()
        if not user_info:
            return jsonify({
                'code':400,
                'msg':'该用户手机号不存在'
            })
        if user_info.password!=args['password']:
            return jsonify({
                'code':400,
                'msg':'密码不正确'
            })
        token=JwtTool().create({    #短token
            'username':user_info.username,
            'uid':user_info.id,
            'exp':int(time.time()+360)  #加上一个有效期360秒
        })
        long_token=JwtTool().create({    #长token
            'username':user_info.username,
            'uid':user_info.id,
            'long':True, #这个标志是用来区分长token的 目的是让token不能进行普通接口的校验 只用于特定接口的校验
            'exp':int(time.time()+15*24*3600)  #加上一个有效期15天
        })
		return jsonify({
            'code':200,
            'msg':'登陆成功',
            'data':{
                'username':user_info.username,
                'token':token,   #短token         #登录的时候两个都保存
                'long_token':long_token   #长token
            }
        })
 #退出登录 前端退出登录先调用这个 然后再清空token
class TokenView(Resource):
    def put(self):   #更新token
        #获取参数
        rep = reqparse.RequestParser()
        rep.add_argument('longtoken', location='headers')
        args = rep.parse_args()

        #校验参数
        try:
            payload=JwtTool().valid(args['longtoken'])  #封装的解密token
        except Exception as a:
            return jsonify({
                'code':403,
                'msg':'用户未登录'
            })
        #逻辑
        user_info = UserModel2.query.get(payload['uid'])
        #再生成token
        token = JwtTool().create({  # 利用封装的生成token函数
            'username': user_info.username,
            'uid': user_info.id,
            'exp': int(time.time() + 360)  # 加上一个有效期360秒
        })
        #返回响应
        return jsonify({
            'code':200,
            'msg':'token更新成功',
            'data':{
                'token':token
            }
        })

前端在main.js里进行编写

//强制登录
axios.interceptors.response.use(function(resp){
    console.log('resp===',resp)  //resp 就是请求响应回来的数据
    // 未登录用户 直接跳转到登录页面
    if(resp.data.code==403){
        router.push('/login')  //此处无法使用 this.$router
    }
    return resp  //把请求对象返回回去
},function(error){
    console.log(error)
})

// 无感知更新token
axios.interceptors.response.use(function(resp){
    console.log(resp)
    if(resp.data.code==666){
        // 代表token过期了
        //重新请求token
        reloadToken()
    }
    return resp
},function(error){
    console.log(error)
})
//重新加载token
function reloadToken(){
    axios.put('/user/token',{},{
        'headers':{
            'longtoken':localStorage.getItem('long_token')
        }
    }).then((result) => {
        if (result.data.code==200){
            localStorage.setItem('token',res.data.data.token)
            window.location.reload()  //网页刷新
        }
    }).catch((err) => {
        console.log(err)
    });
}
qishaoawei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于实现token无感刷新的解决方案
菜鸟的博客
11-27 1万+
问题引入 在开发中为了安全或满足分布式场景,通常会舍弃原有的session认证手段,而采用jwt(json web token);但是使用token难免遇到token有效期的问题,如果token长期有效,服务端不断发布新的token,导致有效的token越来越多,这必然是存在安全问题的。而token不想session一样,在用户操作时会进行刷新,为了用户体验,这个刷新就需要自己实现。 方案 一、使用旧token获取新token 如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一
项目中前端如何实现无感刷新 token
CRMEB小程序商城的博客
07-17 1427
前一阵遇到了一个问题,线上平台有时会出现用户正在使用的时候,突然要用户去进行登录,这样会造成很不好的用户体验,但是当时一直没有好的思路因此搁置了下来;通过零散时间查询资料以及思考,最终解决了这个问题,接下来跟大家分享一下!
解决使用 Composer 的时候提示输入 Token
shaofei1986的专栏
01-09 1511
解决办法就是: 进入 https://github.com/settings/tokens 点击 「Generate new token」 新建一个 Token,选择默认新建就行,然后就会得到一个 Token,然后复制生成的token粘贴到命令行窗口,默认不显示,粘贴后直接回车即可。 ...
php retoken,laravel 5.5 关闭token的3种实现方式
weixin_33499681的博客
03-17 429
laravel 5.5 关闭token的3种实现方式方法一:关闭掉选中的那一行 整个项目可全部关闭token方法二:在middleware的verifyCsrfTkoen.php中添加函数方法 handle 可以在项目整个token;方法三:定义在 protected $except = [ '屏蔽掉不用提交token的路由'], 这个可以在项目屏蔽掉部分路由不用使用token,使用起来更灵活...
uniapp 实现退出登录 清除Token
xiaohua616的博客
06-26 2286
退出登录功能实现
vue中前端利用refreshToken结合axios拦截器实现token的无感刷新
最新发布
01-16
1、首次登录的时候会获取到两个token(AccessToken,RefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的时候携带AccessToken。 4、当接口口返回401权限错误时,使用RefreshToken请求...
SpringBoot框架集成token实现登录校验功能
08-25
SpringBoot框架集成token实现登录校验功能 SpringsBoot框架集成token实现登录校验功能是指在SpringBoot框架中使用token实现登录校验功能的方法,这种方法可以在移动端和服务器端之间实现安全的身份验证。下面将...
基于acess_token和refresh_token实现token续签
03-19
6. **更新令牌**:客户端收到新令牌后,替换旧的`access_token`,并将新`refresh_token`存储起来。然后,客户端可以继续使用新`access_token`访问资源。 7. **令牌撤销**:如果`refresh_token`被盗或者用户注销,...
koa+jwt实现token验证与刷新功能
01-01
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 本文只讲Koa2 + jwt的使用,不了解...
axios如何利用promise无痛刷新token实现方法
10-16
这样,用户不会感知到请求的中断,实现了无痛刷新token。 总结来说,通过使用axios的响应拦截器和Promise,我们可以优雅地处理token的刷新,保证用户体验的连续性。在实际开发中,还需要考虑错误处理、网络延迟以及...
java app token 失效_App token常用处理机制 和 token失效会带来什么后果?
weixin_42372837的博客
02-13 1485
其实把流程捋清楚了也很简单,题主说到了返回用户的Token信息。在大多数情况下Token和Cookie的作用是一样的,用来保存用户的某一些状态。Cookie一般由浏览器或者客户端自动维护失效状态,服务端也可以根据请求头中的Cookie信息来判断用的某一些状态的合法性,例如登录状态。那么Token就不一样了,它不是Http协议中定义的东西,所以客户端和浏览器都没有对它进行一个规范的实现,因此它由服务...
什么是tokentoken是用来干嘛的?
热门推荐
青春木鱼的博客
09-25 11万+
token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。说白了token是一个身份卡,有权限的作用
Token 的失效处理和无感刷新的两种方法
brucehongsen的博客
09-13 3793
1. 通过 timeStamp, 超过时间,就用 refresh-token去更换 新的 token — 基于 vue 实现 在路由前置守卫处理 定义路由前置守卫 router.beforeEach((to, from, next) => { next() }) 登录成功存时间戳 import { setItem } from '@/utils/storage.js' setItem('TOKENDATE', Date.now()) 进入路由之前进行判断token import { get
asp.net core Antiforgery Token 防范anti 攻击 最简单的使用方法
走错路的程序员
03-01 2788
本来想全局取消这种验证的. 弄来弄去就是关不掉这个验证. 最终敌不过微软的强大. 妥协了. 还是乖乖的在ajax中增加RequestVerificationToken 属性吧. 但是又嫌在每个请求中都加这个参数实在是太麻烦. 后来灵光一闪. 可以像下面这样搞. 简单多了. 在_layout.cshtml 页面中增加一个标记就可以了. <script src="jquery.js">&...
任务栏地址隐藏参数 token隐藏
good1223215703的博客
07-07 1197
适应所有业务场景,地址栏隐藏参数 token隐藏
Win10不能和不建议的服务以及用后的影响
黄邦勇帅的博客
04-25 10万+
Win10不能和不建议的服务以及用后的影响 注意:适用于win10-19042.631版本,在之前的版本与此有一些差别 一、UWP简介 **应用:**即APP或程序,以前称为软件 UWP 即 “Windows通用应用平台”, 说简单一点,就是这种应用(即软件或程序)可以跨设备运行,即一个UWP应用可同时在平板、手机、电脑上运行,但是仅限于安装的win10系统的这些设备,所以,UWP只是跨设备,不能跨平台(即,在不同系统中运行,如可同时在windows、安桌、苹果上运行就叫跨平台), UWP程序
vue监听本地存储token不存在自动刷新页面
逍遥的码农的博客
12-21 2021
我们在代码编写的时候,为了更好的体验,有时候需要清除本地存储的token来自动刷新页面跳到登陆页面 这时候就需要一个监听器来监听本地存储的变化来执行操作 下面我们会用到一个JavaScript的addEventListener()事件监听方法 首先先定义本地存储 localStorage.setItem("adminToken","token") 这个时候我们已经定义好了,接下来使用addEventListener()来监听它的变化 vue在main.js中添加以下代码 // 监听本地存储删除刷新页面
token 存储,token失效
lryh_的博客
04-20 2230
token 存储,token失效
实现token无感刷新
04-05
Token无感刷新是指在Token即将过期时,自动刷新Token,使用户无需重新登录即可继续访问应用。 实现Token无感刷新的基本步骤如下: 1. 在Token过期时间设置合理的有效期。 2. 在客户端发送请求时,检查Token是否即将过期。 3. 如果Token即将过期,向服务器发送刷新Token的请求。 4. 服务器验证Token是否有效,并返回新的Token。 5. 客户端使用新的Token继续访问应用。 具体实现方式可以参考以下步骤: 1. 客户端在每次请求时,都将Token存储在本地存储中(如localStorage)。 2. 客户端在请求头中添加Token。 3. 服务器在验证Token时,检查Token是否过期。 4. 如果Token即将过期,服务器返回一个特殊的HTTP状态码(如401),表示需要刷新Token。 5. 客户端接收到特殊状态码后,向服务器发送刷新Token的请求。 6. 服务器验证客户端提供的Token是否有效,并返回新的Token。 7. 客户端接收到新的Token后,存储在本地存储中,并使用新的Token继续访问应用。 需要注意的是,刷新Token可能存在安全风险,因此需要在服务器端对刷新Token进行严格的身份验证,以确保只有合法用户才能刷新Token。另外,为了防止恶意攻击,服务器可以对每个Token设置唯一的标识符,在刷新Token时根据标识符进行验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值