jwt,accesstoken、refresh token详解

最新推荐文章于 2025-02-21 19:29:32 发布
最新推荐文章于 2025-02-21 19:29:32 发布
阅读量5.1k 收藏 8
点赞数 3
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37704442/article/details/129210122
版权
JWT是一种紧凑的、自包含的网络安全传输信息格式,包括header,payload,signature三部分。JWT常用于身份验证,但不包含敏感信息且默认不加密。JWT的缺点包括不可回收和信息泄露风险。OAuth2引入了accesstoken和refreshtoken,通过短期的accesstoken和长期的refreshtoken来提高安全性,当accesstoken过期时,可以通过refreshtoken获取新令牌。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

jwt,accesstoken、refresh token详解

JWT(json web token)

概念

JWT定义了一种紧凑的,自包含的形式,被用作在网络中安全的传输信息
格式
例如:xxxx.yyyyyyy.zzz
根据.分割,可以得到三部分,header,payload,signature。每部分可以使用Base64解码,就是一个JSON对象。
payload中会包含当前jwt的颁发者信息,JWT有效期,用户的凭证,权限信息,和用户自定义的信息等等。由于JWT是明文信息,所以不适合将一些敏感信息保存在JWT中

流程

客户端发起请求登陆,携带用户名和密码;
服务端验证身份,根据算法,将用户标识符打包生成token
服务器返回JWT信息给游览器,JWT不包含敏感信息;
客户端发起请求获取用户资料,把刚刚拿到的token一起发送给服务器;
服务器发现数据中有token,验明正身;
服务器返回该用户的用户资料;

JWT的6个缺点

1、JWT默认不加密,但可以加密。生成原始令牌后,可以使用改令牌再次对其进行加密。
2、当JWT未加密方法是,一些私密数据无法通过JWT传输。
3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
5、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。
6、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。

安全在哪体现

JWT的安全性,说的是自身信息是防篡改,体现在它的签名部分signature。我们可以在生成JWT的时候,使用数字证书进行签名,采用非对称加密,可以很大程度的保证JWT的安全性。JWT默认是非加密的。
但是,JWT一经颁发,将无法回收,如果发生泄漏,将无法组织,这也是众所周知的JWT最大的问题。
JWT也是客服端-服务器在用户身份信息认证使用token形式的一种体现。jwt将用户身份信息认证保存在客户端,服务端也就不用维护用户状态,大大减轻了服务器的压力。客户端每次请求中,只需要携带这个JWT信息,
服务器根据JWT信息进行身份认证即可。

OAuth2(认证)

由上述可知,JWT存在颁发不可回收问题。如果JWT信息发生泄漏,就可以凭借此信息一直访问服务器信息,
只有等到JWT自动过期,用户的信息才会失效。
那么我们怎么维护用户身份信息呢?
我们可能最先想到,使用Redis(数据库)保存JWT信息,将信息维护服务器。
如果我们真的使用这种方式,那不就又回到了最初的使用服务端保存token的方式了吗?那这个JWT还有存在的必要吗?
第二种方式,我们尽可能短的设置JWT的有效时间,那么,就算用户的JWT信息泄漏了,对系统的访问时间也就尽可能的短了。
而在OAuth2中提出了access_token和refresh_token这两个概念
access_token
用于在客户端的一般请求中,使用此JWT信息验证用户身份。它的有效期通常设置的很短。
refresh_token
用于在access_token失效时,交换新的access_token。

基本流程

客户端向从资源所有者请求授权。
客户端收到授权许可,资源所有者给客户端颁发授权许可(比如授权码code)
客户端与授权服务器进行身份认证并出示授权许可(比如授权码code)请求访问令牌。
授权服务器验证客户端身份并验证授权许可,若有效则颁发访问令牌(accept token)。
客户端从资源服务器请求受保护资源并出示访问令牌(accept token)进行身份验证。
资源服务器验证访问令牌(accept token),若有效则满足该请求。

图解

在这里插入图片描述

曾胖神父
关注
JWT】Asp.Net Core中JWT刷新Token解决方案
德仔
11-06 853
1.关于JWTToken过期问题,到底设置多久过期?(1).有的人设置过期时间很长,比如一个月,甚至更长,等到过期了退回登录页面,重新登录重新获取token,期间登录的时候也是重新获取token,然后过期时间又重置为了1个月。这样一旦token被人截取,就可能被人长期使用,如果你想禁止,只能修改token颁发的密钥,这样就会导致所有token都失效,显然不太可取。(2).有的人设置比较短,比如10分钟,在使用过程中,一旦过期也是退回登录页面,这样就可能使用过程中经常退回登录页面,体验很不好。
JWT Token、ID Token、Access TokenRefresh Token
乌龟的专栏
02-22 8332
JWT Token、ID Token、Access TokenRefresh Token
一文精通JWT Token、ID Token、Access TokenRefresh Token
最新发布
FeelTouch Labs
02-21 1735
用于授权访问资源,任何 Bearer 持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密 key。一个 Bearer 代表授权范围、有效期,以及其他授权事项;一个 Bearer 在存储和传输过程中应当防止泄露,需实现 Transport Layer Security (TLS);一个 Bearer 有效期不能过长,过期后可用 Refresh Token 申请更新。
Token 认证机制详解——原理、实现及代码示例
m0_61786208的博客
02-21 1198
适用于短期访问,过期后需要使用获取新 Token。只应存储在服务器端,避免暴露给前端。双 Token 认证提供更高的安全性,同时减少用户的重复登录,提高体验。这种方式广泛应用于现代 Web 开发,尤其是 SPA(单页应用)、移动应用和微服务架构中。如果你的系统需要更高的安全性,建议结合Redis 或数据库存储 Refresh Token以便进行主动撤销。
Token设计:Access TokenRefresh Token
常备不懈
08-07 1990
在现代Web应用中,身份验证和授权是确保安全性的关键部分。Access TokenRefresh Token是用于这一过程的重要组件。
springSecurity-jwt:JWT access_tokenrefresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessTokenRefreshToken) version1太复杂,无法优化。 accessToken refreshToken流 安全登录处理流程 详细说明转到博客文章 JWT异常处理 安全异常处理(AuthenticationEntryPoint,AccessDeniedHandler) 仅使用AccessToken时 如果将AccessToken的有效时间设置得较长,则很方便,因为用户不需要频繁登录,但是只要有效时间长,恶意用户就可以窃取AccessToken,从而降低了安全性。 相反,如果将AccessToken的有效时间设置为较短时间,则安全性将提高,但由于用户频繁登录,其便利性将降低。 您可能会认为使JWT无效将不起作用,但是JWT只能在设置的到期时间过去之后才到期。 我不能强迫它在那之前过期。 同时使用
accessTokenrefreshToken区别
Mr.绵羊的知识星球
09-01 3079
accessTokenrefreshToken关联和区别
access_token VS refresh_token
RayPick的博客
11-29 6663
众所周知, 在 OAuth 2.0 授权协议中, 有两个令牌 token , 分别是 access_tokenrefresh_token, 为什么已经有了 access_token, 还需要 refresh_token 呢? 我们先看下面两者的介绍 access_token 访问令牌, 它是一个用来访问受保护资源的凭证 refresh_token 刷新令牌, 它是一个用来获取access token的凭证 下面是 OAuth 2.0 中的 token 工作流程图 回归主题, 这两个令牌的主要区别如下
`AccessToken`和`RefreshToken`安全令牌
qq_31532979的博客
06-04 1970
`AccessToken`和`RefreshToken`安全令牌
Access TokenRefresh Token
daobuxinzi的博客
02-09 3205
  access token 是在 Oauth2.0 协议中,客户端访问资源服务器的令牌(其实就是一段全局唯一的随机字符串)。拥有这个令牌代表着得到用户的授权。它里面包含哪些信息呢?答案是:   哪个用户 在什么时候 授权给哪个客户端 去做什么事情   对于 Oauth2.0 不了解的读者,请看我的另一篇文章:简单介绍 Oauth2.0 原理   这个授权是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个...
django jwt token认证中rest_framework_jwtrefresh token有效期
hhhhh11的博客
09-11 5628
导读 jwt在业界已经广泛使用,但这篇文章不是用来介绍jwt的,也不是用来介绍rest_framework_jwt的,而是跟各位掰扯掰扯rest_framework_jwt中的refresh token功能,因为它很可能不是你想象中的refresh token哦 。 场景再现 在jwt鉴权过程中往往会使用accesstokenrefreshtoken,顾名思义,refreshtoken是用来更新后的token,如果项目中配置了refreshtoken过期时间一般就是指refreshtoken的有效期,
SpringBoot项目实战(009)Spring Security(三)JWT+Redis+RefreshToken
IT老吴的博客
07-17 3728
本章打算: 使用redis作为缓存。 使用refreshtoken刷新accesstoken 缓存角色信息到redis
访问令牌(AccessToken)与刷新令牌(RefreshToken
热门推荐
昨夜丶雨疏风骤的博客
05-15 1万+
源码点我 闲着无聊的我又来了,今天介绍一下访问令牌(AccessToken)与刷新令牌(RefreshToken)。 最近公司来了几个Java,然后空气顿时充满了学术的氛围,每天都弥漫着垃圾回收,内存分配,堆栈等等各种技术问题的讨论,竖起了我的小耳朵,我偶然间听到了这个Token过期的问题,今天来说一说。 众所周知,JWT是我们常用的Token类型之一,但是JWT是无状态的,所有的信息,包括超时时间都会编码在JWT中。如果Token设置的超时时间过长会显得有些不安全,如果设置的过短则必须频繁的登录。 在Id
使用Simple JWT提供认证服务(详细介绍access_tokenrefresh_token的使用)
寅月十八的博客
10-21 623
access_tokenrefresh_token的时效就需要设置不一致,当短的access_token 时效过了之后,发送时效长的 refresh_token 重新获取一个短时效access_token。我们每次请求需要携带access_token,但是我们不能每次请求前通过接口获取access_token,我们可以将首次获取的access_token存储,定期通过refresh_token刷新。但是Token有效期不是永久的,当过期之后用户便无法通过认证,我们需要获取新的Token
Web开发茶话会_accessTokenrefreshToken
wuxeek的博客
02-10 492
《Web开发茶话会》系列文章的专注于Web开发过程中的重点难点,采取:应用示例+分析+小试牛刀的模式,让读者先有个感性认知,再分析解释知识点,最后抛出一个两个问题,加深理解。此系列文既谈技术,也谈“风月”,请读者备好茶水。
(4)go web开发之 JWT-Token认证机制Access TokenRefresh Tokenjwt-go 库介绍及在项目中使用
pythonstrat的博客
12-12 3882
介绍 jwt-go: 官方介绍:A go (or ‘golang’ for search engine friendliness) implementation of JSON Web Tokens 意思是 go 语言实现的 json web token。 github地址:https://github.com/dgrijalva/jwt-go 可以查看这篇讲解:https://www.bilibili.com/video/BV14p4y1x7kF?from=search&seid=269440
JWT的双token(access_token+refresh_token)授权和续期
夕拾的博客
10-22 2195
当用户登出或检测到潜在的安全风险时,注销旧的token,使 access_tokenrefresh_token 失效,同时清空客户端的 access_tokenrefresh_toke。通常包含用户敏感信息且为了安全考虑设置较短的过期时间,这可能导致用户在长时间使用应用时频繁遇到登录过期的问题,特别是在进行长时间操作如填写复杂表单时,如在线考试。微服务架构中,JWT认证方案中,用户登录成功后,后端会生成一个JWT格式的。过期的错误码后,在用户无感知的情况下,使用。的使用应受频率限制,防止滥用。
access_tokenrefresh_token的区别
u014596024的博客
11-11 4408
access_token是调用授权关系接口的调用凭证,由于access_token有效期(目前为2个小时)较短,当access_token超时后,可以使用refresh_token进行刷新,access_token刷新结果有两种: 1. 若access_token已超时,那么进行refresh_token会获取一个新的access_token,新的超时时间; 2. 若access_token未超时,那么进行refresh_token不会改变access_token,但超时时间会刷新,相当于续期access_
关于JWT中access_tokenrefresh_token的思考
qq_36077836的博客
01-08 725
为和要有access tokenrefresh token?我终于想通了
大模型token详解
02-11
### 大型语言模型中的Token解析 #### 什么是Token? 在大型语言模型(LLM)中,Token是处理文本数据的基础单元。这些基础单元是将自然语言转换成机器可理解格式的关键步骤[^2]。 #### 标记化过程(Tokenization) 标记化是指将连续的自然语言文本分解为离散单位的过程。这个过程涉及将文本分割成更小的部分——即Tokens。每个Token可以代表一个完整的词、部分词(如子词)、或是单个字符。例如,“transformer”这个词可能会被拆解成多个子词token:“trans-”,“form-”,以及“er”。这种灵活性使得模型能更好地理解和生成少见或复合词语。 #### Token的数量限制及其原因 由于基于Transformer架构的语言模型具有较高的时间和空间复杂度,随着输入序列长度增加,计算量会迅速膨胀至难以管理的程度。因此,大多数LLM都设定了最大允许的input/output tokens数目,常见的范围是从几千到几万不等。这样的设计不仅有助于保持性能稳定,也便于开发者合理规划资源分配。 #### Tokens作为数值标识符的作用 当原始文本经过分词后得到一系列tokens时,在送入神经网络之前还需要进一步编码为计算机易于操作的形式—也就是整数ID或其他类型的向量表示。这样做的好处是可以让不同位置上的相同词汇共享相同的参数更新路径,从而提高泛化能力;同时也方便后续阶段进行注意力机制下的交互运算。 ```python from transformers import BertTokenizer tokenizer = BertTokenizer.from_pretrained('bert-base-uncased') text = "Transformers are amazing!" encoded_input = tokenizer(text, return_tensors='pt') print(encoded_input['input_ids']) ``` 这段代码展示了如何利用Hugging Face提供的`BertTokenizer`类来进行简单的英文句子编码。它会输出该句对应的tensor形式的IDs列表,这就是所说的token ID序列。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值