SpringBoot中基于JWT的双token(access_token+refresh_token)授权和续期方案

最新推荐文章于 2024-09-23 12:21:10 发布
最新推荐文章于 2024-09-23 12:21:10 发布
阅读量3.7k 收藏 21
点赞数 18
分类专栏: Spring全家桶 文章标签: spring boot spring cloud 微服务 大数据 数据挖掘 数据仓库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26664043/article/details/142344970
版权
❃博主首页 : 「码到三十五」 ,同名公众号 :「码到三十五」,wx号 : 「liwu0213」
☠博主专栏 : <mysql高手> <elasticsearch高手> <源码解读> <java核心> <面试攻关>
♝博主的话 : 搬的每块砖,皆为峰峦之基;公众号搜索「码到三十五」关注这个爱发技术干货的coder,一起筑基

微服务架构中,JWT认证方案中,用户登录成功后,后端会生成一个JWT格式的access_token并发送给前端。前端接收后,会将此access_token安全地存储在浏览器的LocalStorage中,以便在后续请求中作为身份认证的依据。

每次API请求时,前端都会将access_token附加在请求头中发送给后端,后端则通过过滤器验证其有效性和未过期状态。然而,鉴于access_token通常包含用户敏感信息且为了安全考虑设置较短的过期时间,这可能导致用户在长时间使用应用时频繁遇到登录过期的问题,特别是在进行长时间操作如填写复杂表单时,如在线考试。

引入refresh_token实现自动续期

为了解决上述问题,通常引入refresh_token机制。refresh_token是一个长期有效的令牌,与access_token一同在用户初次认证时由后端生成并返回给前端。refresh_token应当被安全地存储在客户端,其重要性等同于用户密码。

工作原理

在这里插入图片描述

  1. 初次认证:用户登录成功,后端生成access_tokenrefresh_tokenaccess_token用于后续的API访问,而refresh_token则用于在access_token过期时请求新的access_token

  2. API访问:前端携带access_token访问后端资源,后端验证其有效性。若access_token未过期,则正常处理请求;若已过期,则返回一个特定的错误码,提示前端使用refresh_token刷新access_token

  3. 自动续期:前端捕捉到access_token过期的错误码后,在用户无感知的情况下,使用refresh_token向后端请求新的access_token。成功获取后,前端更新本地的access_token,并继续处理之前的请求或允许用户继续操作。

  4. 安全性与策略

    • refresh_token应当设置较长的过期时间,但并非永久有效,以防止长时间未使用账号的风险。
    • 当用户登出或检测到潜在的安全风险时,注销旧的token,使 access_token 和 refresh_token 失效,同时清空客户端的 access_token 和 refresh_toke。
    • refresh_token的使用应受频率限制,防止滥用。

当然为了更安全,refresh_token其实也可以存储在后端,比如将其存储在redis的中kv中access_token:refresh_token,方式很多,但基本思想一致。当然如果存储在redis中,还不如这种方式了:

关注公众号[码到三十五]获取更多技术干货 !

码到三十五
关注
专栏目录
django jwt token认证rest_framework_jwtrefresh token有效期
hhhhh11的博客
09-11 3487
导读 jwt在业界已经广泛使用,但这篇文章不是用来介绍jwt的,也不是用来介绍rest_framework_jwt的,而是跟各位掰扯掰扯rest_framework_jwtrefresh token功能,因为它很可能不是你想象refresh token哦 。 场景再现 在jwt鉴权过程往往会使用accesstokenrefreshtoken,顾名思义,refreshtoken是用来更新后的token,如果项目配置了refreshtoken过期时间一般就是指refreshtoken的有效期,
SpringBoot项目实战(009)Spring Security(三)JWT+Redis+RefreshToken
IT老吴的博客
07-17 1698
本章打算: 使用redis作为缓存。 使用refreshtoken刷新accesstoken 缓存角色信息到redis
PHP利用JWT实现tokenrefresh_token
打代码是一天,不打代码也是一天
11-06 1641
0. 引入 composer require firebase/php-jwt require __DIR__ . '/vendor/autoload.php'; use Firebase\JWT\JWT; 1. 生成token public function getToken() { $key = 'key'; // key $time = time(); // 当前时间 $token = [ 'iss' => 'http://www.buddha.c
SpringBootJWT+TokenToken自动续期
低调做人,低调编码,神码都是浮云
05-31 968
Springboot+jwt+token实现token认证
springboot集成JWTtoken
weixin_74093287的博客
08-05 768
(3)验证获取到的refreshToken是否合法,不合法,则accessToken为无效token(此处无效token单指自己编写,不是后端生成的token),不对accessToken进行更新操作,合法则重新生成新的accessToken。3,不直接将refreshToken存储到浏览器上,而是将其存储到accessToken的载荷里,后端通过获取accessToken的载荷内容获取到refreshToken,防止refreshToken被盗取。(4)通过该密钥去判断accessToken是否过期。
关于JWTaccess_tokenrefresh_token的思考
qq_36077836的博客
01-08 655
为和要有access tokenrefresh token?我终于想通了
基于acess_tokenrefresh_token实现token续签
03-19
在现代Web应用,安全身份验证和授权是至关重要的。基于令牌(Token)的身份验证机制,特别是JSON Web TokenJWT),已经成为一种流行的选择。在这个场景下,“基于acess_tokenrefresh_token实现token续签”是一...
springboot整和jwt、shiro、redis实现token自动刷新
08-19
接着,我们需要创建一个JWTToken Realm,实现Shiro的AuthenticationInfo接口,处理JWT的验证。在Realm,我们可以解析JWT,获取用户信息,并与数据库进行比对,完成身份验证。 对于Redis的使用,我们需要配置一个...
refresh token获取access tokenspringboot框架的实例
magasea
07-23 3719
refresh token获取access tokenspringboot框架的实例 springboot 上代码 @Configuration @EnableAuthorizationServer @Slf4j public class OAuth2AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter ...
Springboot 整合 JWT + Redis 实现Token 校验Demo(简单实现)
热门推荐
MR.骑士道
11-23 1万+
Springboot 整合 JWT + Redis 实现Token 校验Demo(简单实现)
SpringBoot基于JWT的单token授权续期方案
码到三十五
09-19 1万+
在前后端分离架构,用户登录成功后,后端颁发JWT (Json Web Tokentoken至前端,该token被安全存储于LocalStorage。随后,每次请求均自动携带此token于请求头,以验证用户身份。后端设有过滤器,拦截并校验token有效性,一旦发现过期则引导用户重新登录。
java jwt token reids_SpringBoot整合shiro+jwt+redis - 无状态token登录(二)授权
weixin_42266267的博客
02-24 432
更多最新技术文章欢迎大家访问我的个人博客○( ^皿^)っ豆腐别馆上文总览篇,相信大家已经对接下来要做的事情有了总体思路及印象。总言之我们要做的就只有两件事,一是授权,二即是鉴权。让我们先从授权开始,何为授权?在这里简单地来讲就是要颁发token。何时颁发?毫无疑问,无非就是在登录/注册成功之后。至于上文提到的根据RefreshToken自动刷新AccessToken,我将之归置为token刷新...
SpringBoot深入浅出系列】SpringBoot之集成JWT实现token验证
邓邓子的博客
02-23 2212
文章目录一、JWT 是什么?二、为什么使用 JWT?1.支持跨域访问2.无状态3.更适用CDN4.更适用于移动端5.无需考虑CSRF三、何时使用 JWT?1.授权2.信息交换四、JWT 结构1.标头(header)2.有效载荷(payload)3.签名(Signature)五、创建项目集成 JWT 实现 token 验证1.项目说明2.创建 Spring Initializr 项目 jwt(1).添加依赖(2).添加配置(3).新建实体类 User(4).新建 JWT 工具类 JwtUtils(5).新建控
美食共享圈:Spring Boot校园周边美食平台
2401_85761762的博客
09-22 994
美食鉴赏管理,管理员在美食鉴赏信息页面可以查看发布时间、美食名称、美食类别、美食介绍、商品所在、推荐指数、美食照片、商品价格、用户名、姓名、美食介绍等信息,并可根据需要对已有美食鉴赏信息进行新增、修改或删除等详细操作,如图4-13所示。其工作主要有三个方面,分别是技术、经济和社会三方面的可行性。
Java项目实战II基于Java+Spring Boot+MySQL的洗衣店订单管理系统(开发文档+源码+数据库)
2401_86524610的博客
09-20 1304
随着生活节奏的加快,现代人对便捷、高效服务的需求日益增长,洗衣店作为日常生活服务的重要组成部分,其订单管理效率直接影响着客户体验和经营效益。传统的洗衣店订单管理方式大多依赖纸质记录或简单的电子表格,这种方式不仅效率低下,而且容易出错,难以追踪和统计订单信息。为了解决这些问题,我们设计并实现了一款基于Java+Spring Boot+MySQL的洗衣店订单管理系统。该系统充分利用了Spring Boot的简化开发和MySQL数据库的强大性能,实现了订单信息的数字化管理。
Spring BootSpring Security + JWT + MySQL实现基于Token的身份认证
最新发布
心猿意码
09-23 1294
JWT是一种紧凑、自包含的方式,用于在方之间以JSON对象的形式安全地传输信息。它广泛应用于身份认证和授权。一个JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含两部分:令牌的类型(即JWT)和所使用的签名算法,如HMAC SHA256或RSA。载荷包含所要传递的信息。标准注册的声明和公共的声明可以在此部分添加,例如用户ID(user_id)或角色(role)。
Spring Boot利用dag加速Spring beans初始化
HBLOG
09-20 1608
有向无环图(Directed Acyclic Graph),简称DAG,是一种有向图,其没有从节点出发经过若干条边后再回到该节点的路径。换句话说,DAG不存在环路。这种数据结构常用于表示并解决具有依赖关系的问题。DAG的特性首先,DAG的节点可以有入度和出度。节点的入度是指指向该节点的边的数量,而节点的出度是指由该节点指向其他节点的边的数量。在DAG,节点的入度可以是0或正整数,而出度可以是0或正整数,但不能同时为负数。DAG的另一个重要性质是存在一个或多个拓扑排序。
Spring Boot 学习之路 -- 配置项目
Thinking in Android & Compose & HarmonyOS
09-23 1139
程序开发人员在开发 Spring Boot 项目的过程,会发现 Spring Boot 非常好用。这是因为 Spring Boot 项目所需要的数据都在其配置文件完成了配置。配置文件的数据有很重要的作用。例如,如果在一个 Spring Boot 项目的配置文件缺少关于数据库的数据,这个 Spring Boot 项目就无法连接、操作数据库。在一个 Spring Boot 项目的配置文件,有些数据在创建这个 Spring Boot 项目时就完成了配置,有些数据则需要程序开发人员进行配置。
rest_framework_jwt 如何使用refresh token进行token续期
06-09
使用 `rest_framework_jwt` 进行 token 续期需要执行以下步骤: 1. 在 `settings.py` 添加 `JWT_ALLOW_REFRESH` 配置项: ```python JWT_AUTH = { # ... 其他配置项 ... 'JWT_ALLOW_REFRESH': True, 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7), } ``` 其,`JWT_ALLOW_REFRESH` 配置项表示是否允许使用 refresh token 进行 token 续期,`JWT_REFRESH_EXPIRATION_DELTA` 配置项表示 refresh token 的有效期,这里设置为 7 天。 2. 在 `urls.py` 添加 `refresh_jwt_token` 视图的路由: ```python from rest_framework_jwt.views import refresh_jwt_token urlpatterns = [ # ... 其他路由 ... path('api/token/refresh/', refresh_jwt_token), ] ``` 3. 在前端代码,当 token 过期后,使用 refresh token 进行 token 续期。示例代码如下: ```javascript const refreshToken = localStorage.getItem('refreshToken'); if (refreshToken) { fetch('/api/token/refresh/', { method: 'POST', headers: { 'Content-Type': 'application/json', }, body: JSON.stringify({ refresh: refreshToken }), }) .then((response) => response.json()) .then((data) => { localStorage.setItem('accessToken', data.access); localStorage.setItem('refreshToken', data.refresh); }) .catch((error) => { console.error('Failed to refresh token', error); }); } else { console.error('No refresh token found'); } ``` 在上面的代码,我们首先从本地存储获取 refresh token,然后使用 `fetch` 发送 POST 请求到 `/api/token/refresh/` 视图,将 refresh token 作为请求体的 `refresh` 参数。在成功获取到新的 access tokenrefresh token 后,我们将它们保存到本地存储。 希望这可以帮助你理解如何使用 `rest_framework_jwt` 进行 token 续期
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码到三十五

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值