jwt续签为什么要使用双token,是否单个token也可以吗?

最新推荐文章于 2024-05-18 08:46:50 发布
最新推荐文章于 2024-05-18 08:46:50 发布
阅读量595 收藏 11
点赞数 7
分类专栏: Java架构师基础技术体系 springCloud 文章标签: java spring boot spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37477317/article/details/136294921
版权
本文解释了OAuth2中的access_token和refresh_token的作用,强调了它们的区别,以及在实际开发中如何通过设置短有效期的access_token和长期的refresh_token来提高安全性。双token设计在抖音和钉钉等应用中的应用实例也给出了参考。
摘要由CSDN通过智能技术生成

针对上面的问题,你在实际的开发过程中是否也有同样的疑问?

首先明确一点,这里有一个认知上的错误,access_token和refresh_token是OAuth2规范的内容,不是jwt规范的部分,jwt只是定义了一个token的编码加密解密方式,并不限制如何使用这个token。OAuth2是一种认证规范,其中包括有两个token:refresh_token和access_token,很多实践中这两个token是使用jwt来构建的,也可以使用其他方式构建这两个token,对于Oauth2来说只要两个能识别用户登录状态的字符串就好,并不理会是什么方式构建的。再说OAuth2规范为什么需要两个token。OAuth2定义了资源服务器和授权服务器,第一次认证向授权服务器提交用户名和密码获得两个token,然后访问资源服务器获取资源使用access_token, 资源服务器通常不太可以信任,所以不能给他知道refresh_token免得他自己跑去授权服务器提权,但是它需要access_token去找授权服务器认证客户端的身份(也可能不用找授权服务器,取决于认证的方案)。等access_token失效了,客户端又需要使用refreash_token去授权服务器获取新的access_token来访问资源服务器。在生产实践中很多系统往往简化了OAuth2的认证,把资源服务器和授权服务器合并了。在复杂的环境中资源服务器和授权服务器是由不同团队负责,甚至是不同的公司维护以至于相互并不信任,所以需要两个token来分别访问。

上面是较官方的陈述,可能很多人没有太理解,我就使用较通俗的内容翻译下。

系统前后端正常的流程是:用户使用用户名和密码成功登录系统后,系统会同时返回access_token和refresh_token,在后面的所有正常的接口请求时,必须携带刚才系统颁发的正确的access_token的值才能正常请求到系统服务端对应的逻辑,否则前端请求无法对服务端进行有效的交互。而对于这种正常的请求,接口是不需要携带refresh_token的,refresh_token的用处只是在当access_token有效期快要失效的时候,前端使用这个refresh_token请求对应的后台接口来换取新的acceess_token来保证接口的正常请求。

其实上面的流程很简单,如果将此种情况放到更大的情况下以及考虑到jwt的特有特性,有些隐藏的问题就会被放大。

在一般的JWT的常规架构中,已经发放出去的访问令牌是无法撤销和回收的。这也是JWT的显著特点之一,因为JWT本身就是一个去中心化的东西,谁获得了tokn,准就有权限访问。而缺点之一就是没办法直接实现token有效期刷新和token失效。只要客户端特有的访问令牌不过期,那么就可以访问对应的资源。

为什么无法撤销?

因为HTTP是无状态的,所以每一个请求都要带着访问令牌。

访问令牌一旦泄漏怎么办?

因为无法撤销,没有办法阻止非法得到访问令牌的人访问系统。

那么降低风险的办法就是让访问令牌的有效朗变短,令牌被非法窃取后也会很快就失效了从而导致其无法继续访问系统。

设置一个超长有效期的访问令牌,或者用访问令牌去续新的访问令牌,都会触发上面的安全问题。这引起另一个问题:刷新令牌不也是JWT吗,不是有一样的安全问题吗?

上面内容已经提到了,对应刷新令牌refresh_token又不是每个请求都需要携带,也只是在刷新令牌的时候才会用一次,说到底是为了系统的安全性,因为是无法保证access_token不被窃取。

同样,access_token使用的次数越多被窃取概率越大,过期时间越长也就越危险,所以,access_token传输次数越少越好,有效期越短越好。可是实际需要频繁使用access_token怎么办呢?对应的解决办法就是给两个token,一个token拿来频繁使用(有效期短)就是access_token了,另外一个token藏起来(有效期长)就是refresh_token了,即使频繁使用的acccess_token被窃取了,因为其有效期短,造成的损失也可能小一些。当频繁使用的access_token过期时,可以通过藏起来的refresh_token隐蔽的生成一个新的短期access_token拿出去使用,这样相对的会更安全些。

上面这种设计思想,现在也被大家广泛采纳,比如抖音,钉钉 这种都是在平台注册个app应用,然后给appkey和appsercret 然后用这两个参数换取accesstoken和refreshtoken ,accesstoken一般一两个小时失效,refreshtoken时间很长,调用平台api就要用accesstoken 快过期了就用refreshtoken去调刷新接口重新获取新的accesstoken和refreshtoken解决续期的问题,至于为什么用双token是因为accesstoken频繁使用,一旦泄露会有安全隐患,而refreshtoken只有刷新时候才用,调用次数很低,减少了被盗取的风险。

以上为全部内容。

java架构师进阶之路
关注
  • 7
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JWTtoken机制token详解
qq_41634455的博客
01-13 1万+
token机制 何为tokentoken即为令牌,是服务器生成的一串字符串,作为客户端向服务器进行请求的“通行证”。在客户端进行初次登陆后由服务器返回,之后的每次请求只需要携带token进行请求即可,而无需携带密码等敏感信息 为何token token可以减少敏感信息在网络间的传递 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用 JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息 便于传输,jwt的构成非常简单
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
45.token无感熟悉以及解决sso单点登录限制
YouMing_Li的博客
11-30 1794
上文已经介绍了jwt的基本原理和用法,,本文将介绍token机制,以及sso单点登录。
用户登录设计之token设计
CRMEB小程序商城的博客
12-02 5186
背景 笔者在做的一个项目之前的登录接口是实习生写的,登录设计就是简单的提交用户名密码获取token,然后token的过期时间巨长是30天,于是乎另一位工作年限长一点的同事修改了代码,变成了登录获取两个token: 1.accessToken: 真正用来获取数据的权限 2.refreshToken: 用来获取accessToken 为什么需要token? 总所周知,token是为了防止用户信息传来传去导致被劫持,但是假如token没有过期时间或者过期很长,那么显然token被劫持还是不安全的,token
无感刷新-token!!!
最新发布
qq_64847107的博客
05-18 437
超级管理员下线,用户角色调整,避免单token无感知,及时刷新tokentoken系统通常用于提高安全性和分离不同级别的权限。:这是用户直接使用来访问资源的token。它的有效期较短,一旦过期,用户需要重新认证来获取新的access token。这样做的好处是即使access token被泄露,由于其有效期短,。:Refresh token是用来在access token过期后重新获取新的access token的。它的,甚至可以说是永久的。
登录生成token的理解
m0_64479814的博客
04-21 4819
token机制是为了提高系统安全性而采用的一种措施。它指的是在登录成功后,会生成两个token返回给客户端::用于访问受限资源,有一定的生命周期,过期需要重新获取。:用于刷新Access Token,生命周期较长。
JWT令牌(token)实现登录验证
weixin_43973161的博客
09-23 5709
就是在登陆操作之后由服务端返回两个token:accessToken和refreshToken,在之后的验证登录态的操作中使用这两个token进行验证,其中accessToken的过期时间相当短,refreshToken的过期时间相对于accessToken而言相当长,且会不断的刷新。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1449
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌。
JWT Token生成及验证
07-16
JWT即将过期时,用户可以使用刷新Token获取新的JWT,而旧的JWT则失效。 8. **JWT在API安全中的应用**:JWT常用于API的身份验证,客户端在请求时附带JWT,服务器验证通过后才允许执行相应操作。这种方式减少了...
基于acess_token和refresh_token实现token续签
03-19
新令牌被返回给客户端,旧`refresh_token`可能被标记为已使用或撤销。 6. **更新令牌**:客户端收到新令牌后,替换旧的`access_token`,并将新`refresh_token`存储起来。然后,客户端可以继续使用新`access_token`...
详解JWT token心得与使用实例
10-16
- 服务器通过重新计算签名来验证JWT的合法性,使用相同的算法和密钥,对比生成的新签名与JWT中的签名是否一致。 5. **Token 的安全性考虑**: - 因为签名是基于密钥生成的,只有服务器知道这个密钥,所以其他人...
token刷新、续期,access_token和refresh_token实效如何设置
热门推荐
a704397849的博客
05-15 5万+
oauth2 token刷新,token续期,access_token和refresh_token实效如何设置 token认证,生成的token 过一段时间就会失效(不要故意把时间设的很长,这样不安全,token变得毫无意义!),用户需要重新登录获取token。用户经常使用客户端,使用过程中 由于token到期 客户端跳转到登录界面要求登录,这样体验极差!比如: token有效期2h,用户一直在使...
vue axios实现token无感刷新
weixin_45606890的博客
07-26 2797
vue实现token无感刷新
token的认识
weixin_62122119的博客
06-29 479
token的存在 accessToken和refreshToken存在 acessToken存在周期较短,主要为refreshToken做铺垫,当token过期会不断的刷新token且每次的refreshToKen是会变的。基于token登录验证的情况下 1当你正在访问一个网页时 这时token过期那么你被下线重新登录,2特别是对于哪谢正常访问操作的网页app等的用户,过期时间到被下线,这就很智障,用户体验感极差;
JWT你真的明白吗?介绍项目常用的运用方式
qq_60891094的博客
10-19 79
JWT是什么,以及它所对应的流程这里不详细说了,市面上能看到很多为什么用JWT?1、传统的session存储在服务器中,随着用户的增加服务器压力增大,而JWT不需要存储在服务器中,数量小,传输速度快2、在分布式环境中,携带sessionId的请求发送到没有存它数据的服务器中,造成失效,JWT很适用于微服务3、JWT适用于多web平台更多jwt内容就不说的可以查看官网。
Spring Security采用JWT验证时filter异常处理和JWT续期问题
hey_lie的博客
11-03 1911
1.spring security JWT过滤器异常自定义处理 2.spring security 认证和授权时的异常自定义处理 3.JWT 续期问题
Springboot 整合 JWT + Redis 实现Token 校验Demo(简单实现)
MR.骑士道
11-23 1万+
Springboot 整合 JWT + Redis 实现Token 校验Demo(简单实现)
如何实现token续期——token实现
TaloyerG的博客
10-24 1061
我们知道token的失效时间,是在创建时就规定的时间,如果时间一到,用户即使任然在操作,那么也会强制退出,体验非常不好,本文介绍token续期的常见方式之一token
后端token登陆快速入门:token实现登陆,判断登陆过期
Old_Secretary的博客
04-14 2326
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用token来解决。附带token流程和示例代码
什么是JWT?如何生成和验证JWT token
03-10
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准(RFC 7519)。它是一种轻量级的安全传输方式,用于在网络应用间传递声明信息。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。 头部包含了关于令牌的元数据和加密算法的信息,通常由两部分组成:令牌类型(即JWT)和所使用的签名算法(如HMAC SHA256或RSA)。 载荷是JWT的主要内容,包含了一些声明信息,如用户ID、角色、权限等。载荷可以自定义,但建议只包含一些非敏感的信息,因为JWT是可解码的。 签名是对头部和载荷进行加密生成的,用于验证JWT的真实性和完整性。签名需要使用头部中指定的算法和密钥进行生成,接收方可以通过验证签名来确保JWT没有被篡改。 生成JWT token的过程如下: 1. 创建一个包含所需声明信息的JSON对象。 2. 使用Base64编码头部和载荷,形成两个字符串。 3. 将两个字符串用点号连接起来,形成一个未签名的JWT。 4. 使用指定的算法和密钥对未签名的JWT进行签名,生成签名字符串。 5. 将签名字符串添加到未签名的JWT末尾,形成最终的JWT token。 验证JWT token的过程如下: 1. 将接收到的JWT token按点号分割为头部、载荷和签名三部分。 2. 使用相同的算法和密钥对头部和载荷进行签名,生成一个新的签名字符串。 3. 将新生成的签名字符串与接收到的签名进行比较,如果相同,则说明JWT token是有效的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值