第三方token过期监控及刷新机制

最新推荐文章于 2024-04-11 19:29:01 发布
置顶 最新推荐文章于 2024-04-11 19:29:01 发布
阅读量10w+ 收藏 5
点赞数 1
分类专栏: 解放开发 文章标签: 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40682764/article/details/111467077
版权

背景

信息系统随着业务发展的多样化及场景的拓展,需要接入越来越多的第三方系统,部分收费的第三方服务都会按照合同约定给用户提供对应的应用授权账户,授权账户包含并不仅限于账号/密码/AppKey/AppSecret/MerchantId,但是从系统安全角度出发,为了保护授参数的安全性和系统的稳定性,服务商都有针对账号进行流量控制/服务降级/关键安全信息定期更新等机制,来确保双方系统稳定及安全,本次说到的Token过期就是其中的一种保护账号安全的机制

现状

各第三方服务token过期时间

针对目前的一些第三方服务,目前渣渣所了解到的是,拼多多的部分接口授权token是15天过期时间,蘑菇街/蘑菇街小店的token过期时间是7天,京东/淘宝等是一年的过期时间。

存在的问题点

有朋友会说,这个问题很好处理,token过期那就刷token就是的;是的,对于一个开发来说,刷token很简单,按照官方的文档操作就可以了,但是现在大多数的企业都存在以下场景,致使刷token的过程效率比较低,沟通成本却很高,从开发和运营角度去看

开发角度
  • 用来刷token的账号一般都是业务账号,开发需要走流程才能获取到。
  • 此类账号一般异地登陆或者换PC登录都需要手机号验证,沟通成本和及时性很难保障
  • 操作2分钟,沟通一小时,线上问题迫在眉睫
运营角度
  • 大多数运营不知道这个系统中存在这个问题,只在线上出问题后,开发才反馈有此问题
  • 我有账号,我不知道怎么操作,操作的流程都是一串串代码,我不会
  • 线上出问题了,需要快速恢复业务,我直接去开发工位去处理

以上问题总结起来就是,有权限的不会处理,会处理的没权限,部分公司的做法就是运营把账号给到开发,并提供手机号验证码;开发愿意去接这个么?大多数情况不愿意,因为此类账号里面一般都会有运营的数据或者一些销售数据,比较敏感,例如天猫和京东的账号,是有发优惠卷和上线营销活动的权限的。

处理方案
开发侧
  • 在token过期前提醒运营进行刷新操作,一般是过期前一周内(有效期较短的过期前3天,一般有效期比较短的都不需要验证账号)
  • 开发业务操作页面,方便运营在自研系统中进行操作
  • 页面简历tips,提示具体的每一步操作
运营侧
  • 注意查收特定邮箱的预警邮件,处理完成后回复邮件及抄送人
  • 操作过程中有问题需要开发协助及时沟通
具体落地方案(以京东平台为例)
开发建立第三方服务表(第三方服务信息管理)

存储关键信息:
平台名称/业务名称/AppKey/AppSecret/Token/RefreshToken/EndDate等关键参数

了解刷新流程

京东平台授权刷新流程
以下内容转发,可以直接去
京东授权刷新流程查看原汁原味的

1、请求入口地址
1)获取授权码(code)
https://open-oauth.jd.com/oauth2/to_login
2)获取访问令牌(access_token)
https://open-oauth.jd.com/oauth2/access_token
注意:如授权账号(商家为主账号)修改密码则授权码(Access token)随之失效,需重新授权。
2、授权操作步骤
       实际进行授权操作时,测试的数据 app_key、app_secret、redirect_uri 均需要根据自己创建的应用实际数据给予替换,不能拿示例中给出的值直接进行测试,以免影响实际测试效果。
 1)拼接授权url
    拼接用户授权需访问url ,示例及参数说明如下:
https://open-oauth.jd.com/oauth2/to_login?app_key=XXXXX&response_type=code&redirect_uri=XXXXX&state=20180416&scope=snsapi_base
2)引导用户登录授权
    引导用户通过浏览器访问以上授权url,将弹出登录授权页面。用户输入账号、密码点“登录”按钮,即完成授权流程。在PC浏览器里,该页面支持授权用户京东APP扫码登录;若授权用户已经在该浏览器中登录京东,则可实现一键授权登录。
3)获取code
    上图页面,若用户点“登录”按钮后,开放平台会跳转到指定的redirect_uri并多添加两个参数code和state参数(浏览器地址栏),应用可以获取并使用该code去换取access_token;
返回示例:
redirect_uri?code=CODE&state=STATE
说明:
    可发布服务市场(fw.jd.com)的应用,在应用上线后,如购买应用的用户,通过"我的服务--立即使用”访问(下图),系统会自动跳到授权页面(因此这种方式访问应用的,不需要拼接url),只需注意获取code即可。同时返回code时,还会返回通过state传递订购服务相关的信息;
注意:state中如果有“+”号,因浏览器交互的原因,会出现“+”号替换成空格的现象,导致授权报错,如果出现此种情况,请把的state 中的空格再替换成“+”号,state后面的是经过base64编码,使用者可以通过收费项目编码或者版本号来指定自己软件对应的服务并可以通过接口进行验证参数的正确性,反编码后内容如下:

{
   "jos_parameters":
{
        "app_key": "CB69F1769C4B110D010D128E41030C94",
        "end_date": 1469289600000,
        "item_code": "FW_GOODS-233232-1",
        "source": "JM",
        "user_name": "sop_order",
        "version_no": 1
    }
}

大体流程如下图:
在这里插入图片描述

建立监控机制

上述表中我们有存储字段EndDate,通过建立定时调度去扫描此表,判断当前时间与EndDate之间的关系,确定刷否需要刷新token,不需要则无提示,需要刷新时可通过邮件/钉钉/企业微信等方式通知相应人员;注意此处最好发送给操作人员,抄送给相关支持人员和开发

操作平台设计

页面简图:
页面可选模式:列表展示单行修改/平台名称+业务模块下拉选择修改
在这里插入图片描述

  1. 建立单行表单,可选择平台名称/业务名称,触发授权按钮,服务拼接授权参数访问第三方登陆平台,此处需要保留原页面。
  2. 用户在页面上获取到code后,将code填充到表单中的授权code栏目中并点击确认授权按钮,应用发起授权请求,并从返回的结果中解析出对应的end_date/access_token/refresh_token等字段
  3. 将以上信息更新到表中维持之后的监控判断
写在最后

以上方案,只有在第一次处理时需要开发接入,原则上后续的流程只是对此功能的维护。
另外有些企业可能考虑到将这些参数存在表中,安全性可能会有问题,此类数据可以考虑关闭开发访问权限。

渣渣小码渣
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于token过期问题
weixin_47175934的博客
02-28 749
过期时,你可以拿着过期token去换取新的token,来保持用户的登陆状态,当然你这个过期token过期时间必须在刷新时间之内,如果超出了刷新时间,那么返回的依旧是 401。概述:服务器生成token的过程中,有两个时间,一个是token失效时间,一个是token刷新时间,刷新时间肯定比失效时间长,当用户的。:刷新令牌,有效期14天,用于访问令牌过期之后重新获取新的访问令牌。当用户token过期时,去向服务器请求新的 token。把旧的token替换为新的token。我们的项目接口中设定的。
如何管理第三方接口token过期时间
weixin_30535565的博客
06-10 3897
背景: 随着微服务的盛行,做开发时不可避免的要涉及第三方接口,安全起见,这些接口都需要一个token参数。而token一般都有一个过期时间,比如2小时或者30分钟。那么如何在自己的应用中存储并管理这些token呢? 常见方案: 内存缓存;第三方缓存 我们一般都给每个第三方设置一个过期时间参数,使用的时候判断当前token是否过期,如果过期则重新获取。 个人建议的方案: 如果第三方...
如果一直在操作网页token失效吗?
最新发布
m0_74099927的博客
04-11 219
如果一直在操作网页token失效吗?
itsu-token一个手写的第三方token校验SpringBoot Starter模块
yuhelve3308的博客
12-11 621
介绍 itsu-token作为SpringBoot 的starter 模块依赖SpringBoot环境。使用了hu-tool工具包作为底层开发工具包。依赖Spring Aop进行token校验。支持token的持久化保存,目前仅支持mysql数据库。支持token的可视化构建和管理。token构建,token list页面使用bootstrap和jquery-confirm进行设计。实现了第三方系统调用时的token校验、token注册等功能 软件架构 Spring, SpringBoot, Jquery,
python 线程锁_谈谈Python线程中的“锁机制
weixin_39983993的博客
11-26 184
原标题:谈谈Python线程中的“锁机制”何为Lock( 锁 )?如何使用Lock( 锁 )?为何要使用锁?可重入锁(RLock)防止死锁的加锁机制饱受争议的GIL(全局锁)何为Lock( 锁 )?何为 Lock( 锁 ),在网上找了很久,也没有找到合适的定义。可能 锁 这个词已经足够直白了,不需要再解释了。但是,对于新手来说,我还是要说下我的理解。我自己想了个生活中例子来看下。有一个奇葩的房东,...
自动刷新token方案
weixin_34308389的博客
07-24 7018
本文结合Rxjava Okhttp Retrofit 开源方案予以实现 制定目标 执行业务请求时,accessToken 失效,自动执行refreshToken,携带最新accessToken重试之前的业务请求 多业务请求并发访问时,所有请求均失效,保证仅有一次refreshToken操作 对refreshToken进行合理的节流 业务请求+refreshToken 合理的降级策略 特殊场景...
token 过期的处理方案有哪些?
生命不息,挖坑不止
06-29 1万+
在用户登录时,除了发放一个访问令牌(Access Token)以外,再发放一个刷新令牌(Refrsh Token)。当访问令牌过期时,使用刷新令牌向服务器请求新的访问令牌。当访问令牌过期时,跳转回登录界面,让用户重新登录。这种方式的优点是可以避免用户频繁登录,但需要妥善保管刷新令牌,因为它的安全性比访问令牌更高。这种方式的优点是用户只要频繁访问,就不需要登录,但可能增加服务器负担。用户每次使用使用访问令牌时,服务器都更新访问令牌的过期时间。访问令牌的有效期比较短,刷新令牌的有效期比较长。
请求时token过期自动刷新token操作
10-14
本文将深入探讨请求时`token`过期自动刷新的操作,这对于维持用户登录状态和提供无缝体验至关重要。 1. **Token的用途**: `Token`主要用作身份验证和授权。当用户成功登录后,服务器生成一个带有时效性的`token...
Android token过期刷新处理的方法示例
08-26
签名是通过 Token 的前几位和盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接 Token 请求服务器。Token 还可以包含不变的参数,以避免多次查询数据库。 第一种解决方案 第一种解决方案是通过...
Android OkHttp实现全局过期token自动刷新示例
01-20
当请求某个接口的时候,我们在请求的header中携带token消息,但是发现token失效,接口请求报错,怎么马上刷新token,然后重复请求方才那个接口呢?这个过程应该说对用户来说是无感的。 这个过程用流程图可以这样...
前端刷新token,判断token是否过期,若没有过期刷新token过期则退出登录
baidu_39009276的博客
12-08 7930
前端刷新token,判断token是否过期,若没有过期刷新token过期则退出登录
前端刷新token,判断token是否过期(jwt鉴权)
qq_45641978的博客
10-17 3186
4.1 什么是 JWTJWT 是 Auth0 提出的通过 对 JSON 进行加密签名来实现授权验证的方案;就是登录成功后将相关用户信息组成 JSON 对象,然后对这个对象进行某种方式的加密,返回给客户端;客户端在下次请求时带上这个 Token;服务端再收到请求时校验 token 合法性,其实也就是在校验请求的合法性。4.2 JWT 的组成JWT 由三部分组成: Header 头部、 Payload 负载 和 Signature 签名。
微信access_token的缓存与更新
Day Day Up♂
03-21 7625
微信获取access_token有效期是7200秒,该接口每天每个公众号调用次数只有2000次,需要缓存起来,失效了再更新。思路:将access_token保存在redis中。1:获取时检查redis中是否存在,不存在则向微信请求获取到access_token保存到redis2:redis中存在时,我这里加了个access_token有效性校验,由于微信并没有提供access_token有效性校...
微信Access Token 缓存方法
weixin_33829657的博客
04-19 1170
微信Access Token默认缓存是2小时,但是需要特别强调,微信服务号和微信企业号缓存并不相同。 (1)微信公众号号:每次Http请求Access Token 系统返回不同的Token,并附带超时时间,默认是2小时。 (2)微信企业号:每次请求Access Token,默认有效期为2个小时,在这2个小时内获取的Access Token是一样的。 对于微信公众号,我们通过txt存储每次获...
获取企业微信access-token
qq_46387088的博客
06-08 830
获取企业微信access-token
token 过期刷新令牌_Android token过期刷新处理的方法示例
weixin_27207591的博客
12-24 2248
tokentoken的意思是“令牌”,是用户身份的验证方式,最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token请求服务器)。还可以把不变的参数也放进token,避免多次查库。第一种方案通过okhttp提供的Authenticator接口,但是只有HTTP...
Python实现Token过期自动刷新并重试原请求
XerCis的博客
09-18 1598
利用hooks和PreparedRequest机制实现
Retrofit Token过期自动刷新并重新请求接口
热门推荐
Dream It Possible
09-05 3万+
在有心课堂的群里,有网友提出如下场景: 当前开发的 App 遇到一个问题: 当请求某个接口时,由于 token 已经失效,所以接口报错。 但是产品经理希望 app 能够马上刷新 token ,然后重复请求刚才那个接口,这个过程对用户来说是无感的。 请求 A 接口-》服务器返回 token 过期-》请求 token 刷新接口-》请求 A 接口 我们应该是怎么解决这个问题
获取第三方Token然后携带Token访问接口
让学习成为一种习惯!
09-15 753
java通过访问token接口,然后对第三方系统进行接口的调用
java token过期自动刷新
05-25
Java中的Token过期自动刷新可以通过以下方式实现: 1. 在每次请求API时,检查Token是否过期 2. 如果Token过期,发送刷新Token的请求 3. 在接收到新的Token后,更新本地的Token 4. 在下次请求API时使用新的Token 下面是一个示例代码: ```java public class TokenManager { private String token; private long expireTime; public String getToken() { if (System.currentTimeMillis() > expireTime) { refreshToken(); } return token; } private void refreshToken() { // 发送请求刷新Token // ... // 接收新的Token过期时间 this.token = newToken; this.expireTime = newExpireTime; } } ``` 在这个示例中,`getToken()`方法在每次调用时检查Token是否过期,如果过期则调用`refreshToken()`方法刷新Token。`refreshToken()`方法发送刷新Token的请求并更新本地的Token过期时间。下次请求API时,就可以使用新的Token了。 值得注意的是,不同的API可能需要不同的Token,因此需要根据实际情况设计Token管理类。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值