双令牌机制(chatgpt)

已于 2023-05-21 22:56:22 修改
阅读量2k 收藏 5
点赞数 1
分类专栏: # Spring security 文章标签: 服务器 运维
于 2023-05-14 10:33:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16992475/article/details/130666036
版权

先记录下

访问令牌 & 刷新令牌

双令牌机制主要用于增加Web应用程序的安全性。这种机制通常包括两种类型的令牌:访问令牌(Access Token)刷新令牌(Refresh Token)

  • 访问令牌:访问令牌是用户完成身份验证后接收的令牌,它包含了用户的身份信息和权限信息。访问令牌—般会有一个较短的过期时间,例如15分钟或1小时。

  • 刷新令牌:当访问令牌过期后,用户可以使用刷新令牌来获取新的访问令牌,而无需再次输入用户名和密码。刷新令牌—般会有一个较长的过期时间,例如24小时或7天。

双令牌机制

实施双令牌机制的基本步骤如下:

  1. 用户身份验证:当用户通过用户名和密码登录时,服务器会验证用户的身份。如果验证成功,服务器会生成访问令牌和刷新令牌,并将它们返回给客户端。

  2. 使用访问令牌:客户端收到令牌后,会将访问令牌存储在本地。然后,客户端在每次向服务器发送请求时,都会在请求头中携带访问令牌。

  3. 访问令牌过期:当访问令牌过期后,服务器会拒绝来自客户端的请求,并返回一个特定的错误码,例如401(未授权)。

  4. 使用刷新令牌:当客户端收到401错误码时,它会使用刷新令牌向服务器请求新的访问令牌。服务器会验证刷新令牌,如果验证成功,服务器会生成新的访问令牌和刷新令牌,并将它们返回给客户端。

  5. 刷新令牌过期:如果刷新令牌也过期了,客户端就需要重新进行身份验证。

双令牌机制的优点

双令牌机制的优点是,即使访问令牌被盗,攻击者也只能在短时间内使用,因为访问令牌很快就会过期。

此外,即使刷新令牌也被盗,服务器也可以在用户下次使用刷新令牌时,发现有两个不同的客户端试图使用同一个刷新令牌,从而废除该刷新令牌(这点存疑?)

疑问

疑问1:访问令牌过期,访问请求失败,如何无感使用刷新令牌获取访问令牌,并处理失败请求

那访问令牌过期时,发送的那个请求,已经失败了,再拿刷新令牌获取新的访问令牌,怎样做到用户无感?

当访问令牌过期,服务器通常会返回401 Unauthorized状态码。在这种情况下,可以在客户端设置一个拦截器来处理这个问题,使用户感知不到令牌的刷新过程。这样,每当客户端收到401状态码,它可以自动使用刷新令牌去获取新的访问令牌,然后再次尝试发送失败的请求。

以下是一个基本的处理流程:

  1. 客户端发送请求。
  2. 服务器检查访问令牌,发现它已经过期,然后返回401状态码。
  3. 客户端拦截器捕获到401错误,然后使用刷新令牌向服务器请求新的访问令牌。
  4. 如果刷新令牌有效,服务器返回新的访问令牌。
  5. 客户端拦截器接收到新的访问令牌,更新本地存储的访问令牌。
  6. 客户端拦截器重新发送原来失败的请求。
  7. 服务器接收到新的请求和新的访问令牌,然后处理请求。

注意,这个过程需要处理并发请求的情况。如果有多个请求同时返回401错误,客户端应该只发送一次刷新令牌的请求,然后用获取到的新访问令牌重新发送所有失败的请求。

以上就是一个基本的处理过期访问令牌的流程,希望对你有所帮助。

现成的axios作为请求客户端,处理双令牌机制的源码实现

处理双令牌机制的Axios源码实现可以通过Axios的拦截器功能来实现。
以下是一个基本的示例:

import axios from 'axios';

// 创建axios实例
const instance = axios.create({
  baseURL: 'https://your-api-url',
  timeout: 5000
});

let isRefreshing = false; // 刷新令牌的标志
let failedQueue = []; // 存储因等待刷新令牌而挂起的请求

const processQueue = (error, token = null) => {
  failedQueue.forEach(prom => {
    if (error) {
      prom.reject(error);
    } else {
      prom.resolve(token);
    }
  });

  failedQueue = [];
};

instance.interceptors.response.use(
  response => response,
  error => {
    const originalRequest = error.config;

    if (error.response.status === 401 && !originalRequest._retry) {
      if (isRefreshing) {
        return new Promise(function(resolve, reject) {
          failedQueue.push({ resolve, reject });
        })
          .then(token => {
            originalRequest.headers['Authorization'] = 'Bearer ' + token;
            return instance(originalRequest);
          })
          .catch(err => {
            return Promise.reject(err);
          });
      }

      originalRequest._retry = true;
      isRefreshing = true;

      return new Promise(function(resolve, reject) {
        // 这里使用你的刷新令牌接口,返回新的访问令牌
        axios.get('/refresh-token')
          .then(({data}) => {
            instance.setToken(data.token);
            originalRequest.headers['Authorization'] = 'Bearer ' + data.token;
            processQueue(null, data.token);
            resolve(instance(originalRequest));
          })
          .catch(err => {
            processQueue(err, null);
            reject(err);
          })
          .finally(() => {
            isRefreshing = false;
          });
      });
    }

    return Promise.reject(error);
  }
);

export default instance;
  • 这段代码首先创建一个新的axios实例,并添加一个响应拦截器。
  • 当服务器返回401错误时,拦截器会检查是否正在刷新访问令牌。
    • 如果正在刷新,那么它会将请求添加到等待队列中,并返回一个Promise,该Promise将在新的访问令牌可用时解析。
    • 如果不在刷新,那么它会发送一个请求来刷新访问令牌,并将所有等待的请求添加到队列中。
    • 当新的访问令牌可用时,它会解析所有等待的Promise,并使用新的访问令牌重新发送原始请求。

注意:上述代码只是一个基本的示例,你可能需要根据你的应用程序的具体需求和服务器的API来进行修改。例如,你可能需要在其他地方存储和获取访问令牌和刷新令牌,或者你可能需要使用不同的方式来处理错误和队列。

ps酷教程
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts2的令牌机制
03-19
非常详细的案例,有注释,有代码,可以成功运行
令牌机制demo附原理图.jpg
02-03
用一个小demo简洁明了的说明了令牌机制,并有图清晰的展示令牌机制的原理
LangChain入门:2.OpenAPI调用ChatGPT模型
Hugo的博客
03-27 821
通过本文的指导,您已经学会了如何使用OpenAPI调用ChatGPT模型,实现了一个能够与用户进行智能对话的系统。这不仅可以作为您学习LangChain的起点,也可以作为构建更复杂对话系统的基石。随着技术的不断进步,您可以尝试探索更多的模型和功能,以提供更加丰富和个性化的用户体验。通过LangChain库的实践,您将学习构建一个能够与用户进行自然语言对话的系统的关键步骤。在动手编码之前,请确保您已掌握Python编程的基础知识,并了解API调用的基本原理。为了与OpenAI的API进行交互,您需要安装。
Spring Security oAuth2 令牌访问刷新
qq_44758028的博客
07-19 5107
Spring Security oAuth2 令牌访问刷新 Access Token Access Token 是客户端访问资源服务器令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是 临时 的,有一定有效期。这是因为,Access Token 在使用的过程中 可能会泄露。给 Access Token 限定一个 较短的有效期 可以降低因 Access Token 泄露而带来的风险。...
访问令牌(access token)
x-2010的笔记
10-31 9167
访问令牌是用来描述进程或线程安全上下文的对象,令牌所包含的信息是与该user账户相关的进程或线程的身份和权限信息。当user登录时,系统通过将user输入的密码与储存在安全数据库中的密码进行对比。若密码正确,系统此时会为user生成一个访问令牌。之后,该user执行的每个进程都会拥有一个该访问令牌的拷贝。 当线程和一个安全对象交互时或者线程试图执行一个需要权限的系统任务时,系统使用访问令牌来辨别user。访问令牌包含以下信息:
13 令牌颁发方式 之 刷新令牌
Markix的博客
10-10 872
在授权码模式颁发令牌时,当发现该客户端支持 REFRESH_TOKEN 模式时,还会返回刷新令牌。客户端可以使用刷新令牌(refresh token)重新获取访问令牌(access token)。(一般来说访问令牌时效会比较短,刷新令牌时效比较长,通过刷新令牌获取访问令牌可以避免多次授权)
定位问题-helm Error UnAuthorized--测试ChatGPT
Jimmy的博客
02-11 3680
上周我们遇到了一个helm upgrade失败的问题,最后是重启tiller解决,我来测试下ChatGPT能否解决。作为一个后端开发,helm只是大概了解,并不知道还有tiller,在ChatGPT开始有重复的迹象时后面稍有变通。
ChatGPT出现Unauthorized错误。
weixin_43501408的博客
01-10 4006
问题描述:ChatGPT出现Unauthorized错误。第二步,切换节点,切换和上次使用不同的“米果”节点。
访问令牌(AccessToken)与刷新令牌(RefreshToken)
昨夜丶雨疏风骤的博客
05-15 9731
源码点我 闲着无聊的我又来了,今天介绍一下访问令牌(AccessToken)与刷新令牌(RefreshToken)。 最近公司来了几个Java,然后空气顿时充满了学术的氛围,每天都弥漫着垃圾回收,内存分配,堆栈等等各种技术问题的讨论,竖起了我的小耳朵,我偶然间听到了这个Token过期的问题,今天来说一说。 众所周知,JWT是我们常用的Token类型之一,但是JWT是无状态的,所有的信息,包括超时时间都会编码在JWT中。如果Token设置的超时时间过长会显得有些不安全,如果设置的过短则必须频繁的登录。 在Id
Spring Boot 优雅集成 Spring Security 5.7(安全框架)与 JWT(令牌机制
欲变世界,先变其身
06-15 4026
Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IOC(控制反转),DI(依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
JWT令牌token)实现登录验证
weixin_43973161的博客
09-23 5312
就是在登陆操作之后由服务端返回两个token:accessToken和refreshToken,在之后的验证登录态的操作中使用这两个token进行验证,其中accessToken的过期时间相当短,refreshToken的过期时间相对于accessToken而言相当长,且会不断的刷新。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
深入理解令牌认证机制(token)
10-16
主要介绍了深入理解令牌认证机制(token),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
redis令牌机制实现秒杀系统
10-18
秒杀是电商系统非常常见的...本教程采用:redis中list类型达到令牌机制完成秒杀。用户抢redis中的令牌,抢到 令牌的用户才能进行支付,支付成功之后可以生成订单,如果一定时间之内没有支 付那么就由定时任务来归还令牌
struts 令牌机制(Token)
05-24
NULL 博文链接:https://finally-m.iteye.com/blog/360648
计算机服务器中了halo勒索病毒怎么处理,halo勒索病毒解密流程步骤
M99W1230的博客
04-29 443
Halo勒索病毒属于Beijingcrypt勒索病毒,该勒索家族下有多重后缀形式的勒索病毒,像360后缀,halo后缀,faust后缀勒索病毒都是该勒索家族下较为猖狂的勒索病毒,具有较强的攻击与加密能力,可以对暴露在公网之上的所有计算机试试远程桌面弱口令攻击,一旦入侵计算机,就会运行加密程序,经过云天数据恢复中心工程师对halo勒索病毒的处理,为大家整理了以下有关该勒索病毒的相关解密流程。
Web 服务器解析漏洞 原理以及修复方法
it知识分享 free for nothing..
04-29 761
Web 服务器解析漏洞 原理以及修复方法
快速了解Linux IPC
wJen的博客
04-30 1275
简单介绍了Linux IPC以便快速了解基本内容。
服务器远程连接jupyter notebook
weixin_46191137的博客
05-01 1184
注意:这里的远程端口是上面配置的端口号(例如我配置的是8890,这里就需要写8890),本地端口随便写一个就可以,我这里写的是8888。它会自动映射到服务器的jupyter服务,出现jupyter窗口,输入你设定的jupyter密码,即成功进入。是ssh转发的端口号,随意设定一个未使用的端口即可,要记住设定的这个转发的端口号。输入上面的命令之后,会提示输入远程连接的密码,输入密码不报错即连接成功。是你刚才设定密码的hash码,修改成自己的hash码。如果上面的流程都走完之后,且也在服务器端运行。
【Linux】深入探讨 Linux 中的 `ln` 命令:创建链接的艺术
最新发布
风是自由的,你也是。
05-02 279
ln 命令用于创建两种类型的链接:硬链接和软链接(符号链接)。了解这两种链接的区别和适用场景对于有效使用这一命令至关重要。<target>是您想要链接的原始文件。是链接的名称。掌握 ln 命令及其选项可以极大地提升在 Linux 环境下的文件管理效率。了解何时使用硬链接与软链接,并理解它们的行为,将帮助您更好地组织和管理文件系统。希望本文能帮助您更深入地了解 ln 命令,有效地利用链接来管理您的文件和目录。
JWT令牌实现续签
12-08
根据提供的引用内容,JWT令牌实现续签的具体实现如下: 1. 认证中心在生成JWT时,同时生成一个refresh_token,并将其存储在数据库中。 2. 用户在请求时,将JWT和refresh_token一起发送给服务器。 3. 服务器在验证JWT的同时,检查refresh_token是否过期。如果过期,则返回401 Unauthorized错误。 4. 如果refresh_token未过期,则服务器生成一个新的JWT,并将其发送给用户。同时,服务器更新refresh_token的过期时间,并将其存储在数据库中。 5. 如果用户在JWT过期之前发送了新的请求,则重复步骤3-4。 需要注意的是,根据引用提到的问题,存在临界时间的问题。为了解决这个问题,可以在refresh_token过期前,提前生成新的JWT并将其发送给用户。这样,即使在临界时间出现问题,用户也可以继续使用新的JWT进行请求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值