关于单token存在的问题的解决方案

文章讨论了单token存在的有效期短不安全问题及无状态特性,提出了双token(access_token和refresh_token)结合三验证的解决方案。通过access_token短有效期确保安全性,refresh_token长且只允许使用一次,配合Redis存储实现token状态管理,以应对异地登录等安全威胁。
摘要由CSDN通过智能技术生成

单token存在什么问题,主要是token有效期设置长短的问题,如果设置的比较短,用户会频繁的登录,如果设置的比较长,会不太安全,因为token一旦被黑客截取的话,就可以通过此token与服务端进行交互了。

另外一方面,token是无状态的,也就是说,服务端一旦颁发了token就无法让其失效(除非过了有效期),这样的话,如果我们检测到token异常也无法使其失效,所以这也是无状态token存在的问题。

为了解决此问题,我们将采用【双token三验证】的解决方案来解决此问题。

解决该问题的流程图如下:

为了解决单token模式的问题,我们可以通过双token三验证的模式进行实现,主要解决的问题如下:

  • token有效期长不安全
    • 登录成功后,生成2个token,分别是:access_token、refresh_token,前者有效期短(如:5分钟),后者的有效期长(如:24小时)
    • 正常请求后端服务时,携带access_token,如果发现access_token失效,就通过refresh_token到后台服务中换取新的access_token和refresh_token,这个可以理解为token的续签
    • 以此往复,直至refresh_token过期,需要用户重新登录
  • token的无状态性
    • 为了使token有状态,也就是后端可以控制其提前失效,需要将refresh_token设计成只能使用一次
    • 需要将refresh_token存储到redis中,并且要设置过期时间
    • 这样的话,服务端如果检测到用户token有安全隐患(如:异地登录),只需要将refresh_token失效即可

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值