为什么要使用 refresh_token 刷新token

最新推荐文章于 2024-04-26 09:06:25 发布
最新推荐文章于 2024-04-26 09:06:25 发布
阅读量3.2k 收藏 12
点赞数 6
文章标签: spring cloud java spring 微服务
原文链接:https://www.jianshu.com/p/62cb4c522df6
版权

refreshToken就是用来在accessToken过期以后来重新获取accessToken的

1、使用流程

  1. 登录成功获得 refresh token 并持久化
  2. 通过 refresh token 请求刷新得到 access token 并临时储存
  3. 请求业务接口使用 access token
  4. access token 过期或者快过期再次回到「 2 」
  5. refresh token 也过期则生命周期结束,需重新登录

2、使用场景

  1. 如果是一个前后端分离的项目,使用springsecurity+jwt这种,前端用户在登录以后,后端返回给前端一个accessToken,如果没有refresh token,又因为因为安全原因accessToken过期时间会设置的比较短,在accessToken过期以后,用户将会被强制重新登录,影响用户体验
    而如果使用refresh Token,如果用户持续地访问这个网站,他们可以一直保持登录状态,而不需要定期重新登录

  2. 如果是业务服务器之间的相互调用,那么此时只用一个Access Token即可,强制重新登录影响不大,只不过是如果使用 Refresh Token 在获取新的 Access Token 的时候比直接重新登录会方便一小丢丢

3、从是否需要读取额外的状态来看

token 的过期时间一般会比 refeshToken 的过期时间短很多,保证 token 被盗取后无法持久的做坏事,通过 AccessToken 访问,只要通过签名校验合法即可通行,无需读取额外的状态来进一步确认是否撤销,当 AccessToken 过期以后再通过 RefreshToken 读取额外的状态(数据库 /缓存)确认是否继续签发

4、从安全程度来看

  1. access token 有效期短 被盗损失更小 安全性更高
    如果refresh token被盗了 想刷新access token的话 也需要提供过期的refresh token 盗取难度增加
  2. 同时refresh token只有在第一次获取和刷新access token时才会在网络中传输,因此被盗的风险远小于access token 从而在一定程度上 更安全了一点
最后一支迷迭香
关注
  • 6
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
实现无感刷新token(看这一篇就够了)
weixin_57909742的博客
11-09 2603
无感知刷新Token是指,在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token的无感知刷新,用户可以无缝继续使用应用。如何判断Token是否过期?如何在Token过期时自动使用Refresh Token获取新的Access Token?下面将介绍如何实现无感知刷新Token的具体步骤。无感刷新Token技术是一种在客户端应用中自动刷新访问令牌的机制,它通过提供用户无感知的刷新操作,改善了用户体验,提高了安全性,同时减轻了服务端的负担。
accessTokenrefreshToken区别
Mr.绵羊的知识星球
09-01 2053
accessTokenrefreshToken关联和区别
PHP利用JWT refresh_token获取新access_token
最新发布
m0_69254007的博客
04-26 282
确保在实际环境中处理异常和错误,并且使用更安全的方法来生成密钥和tokens。PHP利用JWT refresh_token获取新token。在PHP中使用JWT(JSON Web Tokens)来刷新。的过期时间较长,例如7天。,如果有效,则生成一个新的。当用户登录时,生成一个。
VUE前端实现token的无感刷新,即refresh_token
程序猿的傻白甜
05-23 2658
通常,对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token。后端返回过期时间,前端每次请求就判断token的过期时间,如果快到过期时间,就去调用刷新token接口。:需要后端额外提供一个token过期时间的字段;
关于tokenrefresh token
热门推荐
weixin_41282397的博客
08-21 1万+
0x01. refresh token 的意义 传统的认证方式一般采用cookie/session来实现,这是我们的出发点。 1.为什么选用token而不选用cookie/session? 本质上token和cookie/session都是字符串,然而token是自带加密算法和用户信息(比如用户id),;而cookie本身不包含用户信息,它指向的是服务器上用户的 session,而由sessi...
【google auth2】如何持久化获取refreshToken刷新令牌)
hzxOnlineOk的博客
06-27 2305
当 Access Token 失效时,应该使用 Refresh Token 来向 Google 申请新的 Access Token。在进行 Google OAuth2 认证时,需要向 Google 发起授权请求,并带上一些参数,例如。,以便获取 Refresh Token。在进行 OAuth2 认证流程时,,需要在授权请求中添加。
refreshToken的作用讨论及几点疑惑
weixin_52405713的博客
01-28 1万+
在网上及oauth官方网文档转了一圈,看到如下理由: refreshToken的作用: 1、更加安全。直接接给access_token较长时间的有效期,有泄露风险,所以引用refresh_token,有效期长,但权限小。 2、类似session的检验方式,会在用户每次访问的时候刷新access_token的过期时间。此方案会有较大性能问题,有高频率无用刷新,尤其在请求频繁的时候。此时refresh_token的作用相当于降低了access_token刷新频率。 3、在利用第三方登录,如微信登录、googl
什么是 Refresh Token
里查叔叔
09-18 6596
什么是 Refresh Token AccessToken 和 IdToken 是 JSON Web Token (opens new window),有效时间通常较短。通常用户在获取资源的时候需要携带 AccessToken,当 AccessToken 过期后,用户需要获取一个新的 AccessTokenRefresh Token 用于获取新的 AccessToken。这样可以缩短 AccessToken 的过期时间保证安全,同时又不会因为频繁过期重新要求用户登录。 用户在初次认证时,Refresh
TokenRefresh Token
weixin_44153131的博客
02-14 2983
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。
关于RefreshToken的介绍
weixin_63929524的博客
05-03 1619
客户端通常在请求中使用Token,当Token过期时,客户端将使用RefreshToken请求新的Token。服务器收到带有RefreshToken的请求时,将检查RefreshToken的有效性,并使用它来生成新的Token,同时返回新的Token和新的RefreshToken。通过上述步骤,我们就实现了双Token机制,可以减少用户Token过期重复登录问题,并且可以在Token过期时自动刷新Token,避免了客户端频繁反复请求的情况。首先,我们需要明确什么是Token,以及为什么需要使用Token
refresh token作用与使用方式vue2.0
m0_56683897的博客
07-21 1040
通常情况来说,token失效会设计两种情况:1.token在浏览器储存时间过长,过期失效;2.同一个账号只能在一个浏览器登录存储token,在其他浏览器登陆上一个浏览器的账号会被抢占下线。由于不停的更新token,对于浏览器来讲,负载是非常大的,对于用户来说,体验感也不好,试想使用手机时,每隔10分钟锁一次屏,所以我们用到另个一保存token状态的refresh token,来保持token的有效性。
springSecurity-jwt:JWT access_tokenrefresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessTokenRefreshToken) version1太复杂,无法优化。 accessToken refreshToken流 安全登录处理流程 详细说明转到博客文章 JWT异常处理 安全异常处理(AuthenticationEntryPoint,AccessDeniedHandler) 仅使用AccessToken时 如果将AccessToken的有效时间设置得较长,则很方便,因为用户不需要频繁登录,但是只要有效时间长,恶意用户就可以窃取AccessToken,从而降低了安全性。 相反,如果将AccessToken的有效时间设置为较短时间,则安全性将提高,但由于用户频繁登录,其便利性将降低。 您可能会认为使JWT无效将不起作用,但是JWT只能在设置的到期时间过去之后才到期。 我不能强迫它在那之前过期。 同时使用
基于acess_tokenrefresh_token实现token续签
03-19
基于acess_tokenrefresh_token实现token续签
APP使用tokenrefreshToken实现接口身份认证,保持登录状态.vsdx
07-08
APP使用tokenrefreshToken实现接口身份认证,保持登录状态
refresh-token-postgraphile:实验性的refresh_token支持
05-14
对带有静默刷新的PostGraphile的refresh_token支持 它是什么? 对PostGraphile的实验性refresh_token支持。 用户可以获得类似于会话的UX,包括多个选项卡支持,但服务器不必维护集中的会话状态(例如Redis / DB)。...
vue的token刷新处理的方法
10-18
主要介绍了vue的token刷新处理的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
tokenrefresh token
luminita_的博客
10-09 5299
最近一段时间新接手一个项目,第一次听说refresh token,下面谈谈我自己的理解。 首先,什么是token? 什么是refresh token?两者之间有什么关系? 1.token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 2.refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口,我们传入Refresh_t
OAuth 2.0 中的 refresh_token 和它的重要性
禅与计算机程序设计艺术
12-27 939
1.背景介绍 OAuth 2.0 是一种授权机制,它允许第三方应用程序访问用户的资源,而无需获取用户的凭据。这种机制通常用于在网络上进行身份验证和授权。在 OAuth 2.0 中,refreshtoken 是一种特殊类型的访问令牌,用于在访问令牌过期之前重新获得新的访问令牌。在本文中,我们将讨论 refreshtoken 的重要性,以及如何在 OAuth 2.0 中实现它。 2.核心概念与联系...
token身份验证,解决refresh_token多次刷新问题
m0_55141616的博客
11-02 1万+
基于Token的身份验证的基本过程如下: 1.用户通过用户名和密码发送请求。 2.服务器端程序验证。 3.服务器端程序返回一个带签名的token给客户端。 4.客户端储存token,并且每次访问都携带token到服务器端的。 5.服务端验证token,校验成功则返回请求数据,校验失败则返回错误码跳转重新登录。 使用refresh token的身份验证操作: 但是如果用户在正常操作的过程中,token过期失效了,要求用户重新登录,对用户的体验会很不好。 使用refresh token
返回 aeecss_token为空 refresh_token有值
06-03
当调用 https://api.weixin.qq.com/sns/oauth2/access_token 接口时,如果返回的 JSON 数据中 access_token 为空,但 refresh_token 不为空,可能是由于以下原因: 1. refresh_token 过期了:refresh_token 有一个有效期,如果在有效期内没有使用 refresh_token 去获取新的 access_token,那么 refresh_token 将会过期,失效。需要重新使用授权流程获取新的 access_tokenrefresh_token。 2. refresh_token使用了:每次使用 refresh_token 获取新的 access_token 时,refresh_token 也会更新,旧的 refresh_token 将会失效。因此,如果在使用旧的 refresh_token 获取 access_token 时返回 access_token 为空,但是 refresh_token 不为空,很可能是因为旧的 refresh_token 已经被使用了,需要使用新的 refresh_token 去获取新的 access_token。 你可以根据以上两种情况进行排查,如果还有其他问题,欢迎继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值