无状态登录Token过期时间问题

最新推荐文章于 2023-06-29 00:21:58 发布
最新推荐文章于 2023-06-29 00:21:58 发布
阅读量1.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41609488/article/details/107329011
版权

如果设置了过期时间,用户持续访问,那么这个时间应该做处理

Web应用程序

一个好的模式是在它过期之前刷新令牌。

将令牌过期时间设置为一周,并在每次用户打开Web应用程序并每隔一小时刷新令牌。如果用户超过一周没有打开过应用程序,那他们就需要再次登录,这是可接受的Web应用程序UX(用户体验)。

要刷新令牌,API需要一个新的端点,它接收一个有效的、没有过期的JWT、并返回与新的到期字段相同的签名的JWT。然后Web应用程序会将令牌存储在某处。

移动/本地应用程序

大多数本地应用程序的登录有且仅有一次。

这里面的出发点是,刷新令牌永远不会过期,并且可以始终为有效的JWT进行更换。

永远不会过期的令牌的问题是它失去了令牌的意义。譬如,如果你电话丢了,你该怎么办?因此,它需要由用户以某种方式进行识别,应用程序需要提供撤销访问的方法。我们决定使用设备的名称,例如“maryo的iPad”。然后用户可以去应用程序,并撤销访问“maryo的iPad”。

另一种方法是撤销特定事件的刷新令牌,其中一个有趣的事件是更改密码。

我们认为JWT对于这些用例无效,因此我们使用随机生成的字符串,并将它们存储在我们这边。

qq_41609488
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解小程序用户登录状态检查与更新实例
11-29
这篇文章主要解决以下问题:用户每次登录小程序(包括第一次使用)及点击小程序的每个页面的时候,我们如何判断他当前的登录状态是否过期?如果过期,如何重新获取用户信息并发送至开发者服务器更新用户信息,以及设置新的用户登录状态? 将这个部分单独作为一篇文章有两个原因: ① wx.getUserInfo(OBJECT) 接口调整,废弃了以前直接获取用户信息的方法; ② 上篇文章授权、登录、session_key、unionId 只梳理了登录流程而没有贴实际的代码,所以这篇文章以代码实现为主。 1. 代码逻辑分析 (1)用户登录过期时间如何设置? 在上篇文章中也有提到过,用户登录态可以通过前端设置和后端
Cookie、Session、Token、JWT
07-21
Cookie、Session、Token、JWT 是常用于身份验证和状态管理的概念和技术。它们在Web应用程序中起到关键的作用。 Cookie:Cookie 是服务器在客户端存储的小型数据文件。它通常用于在客户端存储用户的身份验证信息或其他状态数据。当客户端请求服务器时,会将 Cookie 信息附加在 HTTP 请求的头部中发送给服务器。服务器可以读取和解析 Cookie 来获取用户的身份信息或其他状态。Cookie 可以设置过期时间,可以在多个请求之间保持状态。 Session:Session 是服务器端存储用户信息的一种机制。服务器在用户首次访问时为其创建一个唯一的会话标识符(Session ID),并将该标识符存储在服务器上。客户端在后续的请求中会将该 Session ID 作为 Cookie 发送给服务器。服务器使用 Session ID 来获取对应的用户信息。Session 可以存储敏感数据,且在服务器端存储,相对安全。 TokenToken 是一种无状态的身份验证机制。当用户登录成功后,服务器会生成一个 Token 并返回给客户端,客户端将该 Token 存储在本地
springboot+redis+token保持登录
08-03
通过redis 设置session过期时间,实现token 登录机制
Token验证机制实现用户持续操作页面不过期
行云的博客
07-14 1005
token验证机制场景设置 在基于token验证登录态这个情境下,可以想象一个场景,你在使用app或者在网页上进行操作时,你的token突然就过期了,然后只好被迫停止现在正在进行的操作跳转到登录页进行重新登录操作,这就非常的智熄了,这带给用户,特别是经常使用或正在进行某个操作的用户,一种非常不好的体验。这就是单token验证登录的一个缺点。因此对于经常/正在使用...
token响应式设置
adlixiaxia的博客
12-02 667
处理用户 Token Token 是用户登录成功之后服务端返回的一个身份令牌,在项目中的多个业务中需要使用到: 访问需要授权的 API 接口 校验页面的访问权限 … 但是我们只有在第一次用户登录成功之后才能拿到 Token。 所以为了能在其它模块中获取到 Token 数据,我们需要把它存储到一个公共的位置,方便随时取用。 往哪儿存? 本地存储 获取麻烦 数据不是响应式 Vuex 容器(推荐) 获取方便 响应式的 登录成功,将 Token 存储到 Vuex 容器中 获取方便 响应式
redis中的token设置永不过期
weixin_51010510的博客
11-12 4954
做了一块展示企业信息的大屏,要求登录后生成的token永不过期 1.为redis封装一个set方法,参数中不设置过期时间。 2.在controller层中登录请求时调用该方法 .3.调用成功后,redis可视化工具中token过期时间为-1,即永不过期 ...
JWT生成token过期处理方案
以梦为马,不负韶华
08-17 7651
业务场景 在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。 基本思路 单个token token(A)过期设置为15分钟 前端发起请求,后端验证token(A)是否过期;如果过期,前端发起刷新token请求,后端设置已再次授权标记为true,请求成功 前端发起请求,后端验证再次授权标记,如果
关于JWT Token 自动续期的解决方案
飘渺Jam的博客
07-16 7627
前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。后...
Jwt选型和实现
qq_45317823的博客
02-19 487
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
微信小程序开发之——token过期自动登录
我的博客
11-16 5171
一 概述 通过手机号登录后,获取用户token,并将token保存到Storage中 token有效期是一天,token失效后,自动跳转到登录接口,并获取最新token token没有失效时,从小程序搜索进入,不需要登录了 二 实现原理过程 登录成功时,根据登录成功的时间,计算过期时间,并将过期日期保存到Storage中 每次进入时,从Storage中获取保存的过期时间和当前时间进行比较 当前时间小于Storage中保存的过期时间,不需要登录 当前时间大于Storage中保存的过期时间,跳转登录
Android使用token维持登陆状态的方法
08-31
通常,这个token会在一段时间内有效,过期后需要重新获取。 **token的作用** 1. **减少查询次数**:当客户端每次发起请求时,都会携带token,服务器通过验证token来确认用户身份,避免了频繁查询数据库中的用户...
.Net微信开发之如何解决access_token过期问题
10-22
由于`access_token`的有效期仅为7200秒,因此开发者必须妥善处理其过期问题,以确保应用的正常运行。本文将详细介绍如何在.NET环境下解决`access_token`过期问题。 首先,理解`access_token`的工作机制至关重要。...
vue的token刷新处理的方法
10-18
// 刷新失败或refresh_token过期,清除auth并跳转到登录页 localStorage.removeItem('auth'); window.location.href = '#/login'; }); } } } return config; }); ``` 这段代码展示了如何在 Vue 中利用 ...
token实现token超时策略示例
09-04
在现代Web应用中,尤其是RESTful API的设计中,由于其无状态、无Session的特性,Token验证成为了一种常见的身份认证方式。本文将探讨如何通过双Token策略来实现Token的超时策略,这对于确保应用程序的安全性和用户...
PHP token验证生成原理实例分析
10-16
实际应用中,有效期可以根据业务需求来设定,比如登录状态保持时间、API请求的安全级别等。 6. **防止重放攻击**:除了时效性,Token还应该是一次性的,即使用过的Token不应再次生效。这可以通过记录已使用过的...
js-cookie设置token过期时间_SpringBoot + Shiro + JWT 权限管理,过期刷新,小程序商城...
weixin_39916479的博客
11-29 551
前后端基于json进行交互,接口通过JWT无状态token进行权限校验登录时,密码验证通过,取当前时间戳生成签名Token,放在Response Header的Authorization属性中,同时在缓存中记录值为当前时间戳的RefreshToken,并设置有效期客户端请求每次携带Token进行请求服务端每次校验请求的Token有效后,同时比对Token中的时间戳与缓存中的RefreshToken...
Token实现登录token过期解决以及数据解析
qq_38935605的博客
10-21 7598
token我们可以理解为一个令牌,主要的作用是守护我们系统的安全,像我们登录这些都是可以使用token进行用户数据校验的,那么为什么不用传统的session呢?可能很多人直接使用上面的代码进行登录接口实现了,那么同志们有想过一个问题吗?上面设置了token过期时间的,当用户正在使用我们软件的时候,突然token过期了直接报了个401,这个时候用户肯定是一脸懵逼了,有很多软件都会出现这个问题,就是因为偷懒了,我们不经常发现是因为他们的token设置的过期时间较长而已。--导入下面依赖吧-->
token 过期的处理方案有哪些?
热门推荐
生命不息,挖坑不止
06-29 1万+
在用户登录时,除了发放一个访问令牌(Access Token)以外,再发放一个刷新令牌(Refrsh Token)。当访问令牌过期时,使用刷新令牌向服务器请求新的访问令牌。当访问令牌过期时,跳转回登录界面,让用户重新登录。这种方式的优点是可以避免用户频繁登录,但需要妥善保管刷新令牌,因为它的安全性比访问令牌更高。这种方式的优点是用户只要频繁访问,就不需要登录,但可能会增加服务器负担。用户每次使用使用访问令牌时,服务器都会更新访问令牌的过期时间。访问令牌的有效期比较短,刷新令牌的有效期比较长。
token 过期时间
最新发布
10-19
Token过期时间是指在用户登录成功后,服务器返回的Token值在一定时间内有效,超过这个时间后就会失效,需要重新获取Token。一般来说,Token过期时间是由后端决定的,可以设置为几分钟、几小时或几天等不同的时间段。如果在Token过期后继续使用该Token进行请求,服务器会返回401错误。为了解决这个问题,可以采用两种方案:一种是在服务器端保存Token状态,用户每次操作都会自动刷新Token过期时间;一种是使用Refresh Token,一旦Token过期,就反馈给前端,前端使用Refresh Token申请一个全新Token继续使用。Refresh Token也是有有效期的,但是这个有效期可以设置得比较长,比如以天为单位。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值