无感刷新-双token

最新推荐文章于 2024-06-03 11:48:44 发布
最新推荐文章于 2024-06-03 11:48:44 发布
阅读量388 收藏 9
点赞数 11
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62965575/article/details/139013894
版权

1.为什么要做双token?

双token系统通常用于提高安全性和分离不同级别的权限。在这种系统中,通常会有两个token:

  • Access Token:这是用户直接使用来访问资源的token。它的有效期较短,一旦过期,用户需要重新认证来获取新的access token。这样做的好处是即使access token被泄露,由于其有效期短,攻击者利用它进行不当操作的时间窗口有限。

  • Refresh Token:Refresh token是用来在access token过期后重新获取新的access token的。它的有效期通常较长,甚至可以说是永久的。但是,refresh token通常不会直接发送给客户端,而是保存在服务器端。当需要刷新access token时,客户端通过提供refresh token来请求新的access token。

此外,使用双token的原因还包括:

  • 安全性:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。即使access token被盗,由于其有效期短,损害可以被控制在一定范围内。

  • 权限管理:双token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。

  • 用户体验:双token系统可以在不影响用户体验的前提下,实现后台的安全管理和策略调整。用户不需要频繁登录,同时也能保证系统的安全性。

  • 灵活性:在需要进行更细粒度的权限控制或者策略调整时,双token系统提供了更多的灵活性。例如,可以在不改变refresh token的情况下,调整access token的有效期或权限范围。

总之,双token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新的token,来提高系统的安全性和灵活性。这种设计特别适用于需要与第三方应用共享权限而又不泄露用户敏感信息的场景。

2.流程图

3.前端代码实现

const refreshToken = async () => {
    return await axios.get('/apis/bm-member-service-app/api/member/refresh_token', {
        params: {
            refreshToken: beimao_store.refreshToken
        }
    })
        .then(function (response) {

            const { code, msg, data } = response.data
            if (code != 0) {
                return Promise.reject(new Error(msg));
            }

            beimao_store.token = data.token;
            beimao_store.refreshToken = data.refreshToken;
            return Promise.resolve("成功");

        })
        .catch(function (error) {
            return Promise.reject(new Error(error));
        });
}

4.后端代码

4.1登录时,下发双token

public Map<String,String> login1(LoginInfo loginInfo) {

        //1.验证手机号
        if (! Validator.isMobile(loginInfo.getTel())){
            throw new BizException(615,"手机号不正确");
        }

        //根据手机号查询
        Member member = memberDao.selectByTel(loginInfo.getTel());

        if (ObjectUtil.isEmpty(member)){
            throw new BizException(612,"手机号或者密码错误");
        }

        //使用jwt,下发业务access_token
        Map<String, Object> map = new HashMap<String, Object>() {
            private static final long serialVersionUID = 1L;
            {
                put("id", member.getId());
                put("nickName",member.getNickName());
                put("exp", System.currentTimeMillis()/1000 + 10 * 60*6*2);//设置10秒
            }
        };
        String token = JWTUtil.createToken(map, key.getBytes());
        //下发刷新token
        Map<String, Object> map2 = new HashMap<String, Object>() {
            private static final long serialVersionUID = 1L;
            {
                put("id", member.getId());
                put("exp", System.currentTimeMillis()/1000 + 10 * 60*6*24*180);//设置1小时
            }
        };
        String refreshToken = JWTUtil.createToken(map2, key.getBytes());
        Map tokens=new HashMap<String,String>();
        tokens.put("token",token);
        tokens.put("refreshToken",refreshToken);

        return tokens;
    }

4.2业务刷新时,前端调用后端接口,实现无感刷新

  @GetMapping("/refreshtoken")
    public Map<String,String> refreshToken( String refreshToken) {
        return loginService.refreshToken(refreshToken);
    }
 public Map<String, String> refreshToken(String refreshToken) {

            if(ObjectUtil.isEmpty(refreshToken)){
                throw new BizException(461,"refreshToken必传");
            }
            boolean b = false;
            // 验证算法,JWTValidator包含过期的验证,验证比较全面
            try {
                JWTValidator.of(refreshToken).validateAlgorithm(JWTSignerUtil.hs256(key.getBytes())).validateDate();
                b = true;
            }catch (Exception ex){
                ex.printStackTrace();
            }
            if(!b){
                throw new BizException(462,"refreshToken不正确");
            }

            //能走到这说明refreshToken是我们之前下发的。

            JSONObject jsonObject = JSONUtil.toBean(JWTUtil.parseToken(refreshToken).getPayload().toString(), JSONObject.class);

           int id = Integer.parseInt(jsonObject.get("id").toString());


         Member member = memberDao.selectById(id);

            if (ObjectUtil.isEmpty(member)) {
                log.error("手机号未注册");
                throw new BizException(613, "手机号或密码错误");
            }
            Map <String, Object> map = new HashMap<String, Object>() {
                private static final long serialVersionUID = 1L;

                {
                    put("id", member.getId());
                    put("nickName", member.getNickName());
                    put("exp", System.currentTimeMillis()/1000 + 10 * 60*6*2); //access_token过期时间10s
                }
            };
            String token = JWTUtil.createToken(map, key.getBytes());

            Map<String, Object> map2 = new HashMap<String, Object>() {

                private static final long serialVersionUID = 1L;
                {
                    put("id", member.getId());
                    //过期时间一小时
                    put("exp", System.currentTimeMillis()/1000 + 10 * 60*6*24*180);//refreshToken过期时间1h
                }
            };

            //创建刷新令牌refreshToken
            String refreshToken2 = JWTUtil.createToken(map2, key.getBytes());
            // 创建返回的登录结果Map对象
            Map tokens = new HashMap<String, String>();
            tokens.put("token", token);
            tokens.put("refreshToken", refreshToken2);
            return tokens;

        }

执 、
关注
  • 11
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vue中前端利用refreshToken结合axios拦截器实现token的无刷新
01-16
内容概要: 1、首次登录的时候会获取到两个token(AccessToken,RefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的时候携带AccessToken。 4、当接口口返回401权限错误时,使用RefreshToken请求接口获取新的AccessToken。 5、替换原有旧的AccessToken,并保存。 6、携带新AccessToken,继续未完成的请求。 7、RefreshToken也过期了,跳转回登录页面,重新登录。 适合人群: 1、具备一定前端基础,熟悉CSS的开发者。 能学到什么: 1、响应拦截器处理401权限错误。 2、防止重复请求refreshToken接口。 3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
微信小程序自动刷新token,无刷新token,封装的api工具类
07-12
那么就有一个问题,就是token的时效性,token过期,后台返回认证授权失败,那么怎么做到无刷新token,让用户即使token过期了自动刷新token呢?经过查询跟实践,我封装了一个请求类。 思路大致是根据后台返回的...
刷新-Token
w2144217940的博客
06-01 622
总之,双token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新token,来提高系统的安全性和灵活性。这种设计特别适用于需要与第三方应用共享权限而又不泄露用户敏信息的场景。双token系统通常用于提高安全性和分离不同级别的权限。
刷新-token!!!
qq_64847107的博客
05-18 328
token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。总之,双token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新token,来提高系统的安全性和灵活性。:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。
Token实现无刷新
New_user_的博客
01-19 1461
服务端把用户信息放入token里,设置一个过期时间,客户端请求的时候通过的header携带token,服务端验证通过,就可以从中取到用户信息。token是有过期时间的,比如3天,那过期后再访问就需要重新登录了。这样体验并不好。想想你在用某个app的时候,用着用着突然跳到登录页了,告诉你需要重新登录了。是不是体验很差?所以要加上续签机制,也就是延长token过期时间。主流的方案是通过双token,一个、一个。登录成功之后,返回这两个token访问接口时带上访问:当过期时,通过来刷新,拿到新的。
token实现无刷新
qq_63431773的博客
09-12 644
token 验证机制,其中 accessToken 过期时间较短,refreshToken 过期时间较长。当 accessToken 过期后,使用 refreshToken 去请求新的 token
token刷新
qq_59737146的博客
08-20 1186
token刷新
vue axios实现双token刷新
weixin_45606890的博客
07-26 2712
vue实现token刷新
Vue:双token刷新
ruancexiaoming的博客
03-06 2566
refresh token的目的是在access token过期后,无需用户重新登录,客户端可以使用refresh token向认证服务器申请新的access token。为了保证安全性,refresh token一般具备一定的安全措施,例如限制其使用次数(防止无限刷新)、设置有效期(过期后必须重新登录)以及严格的存储策略(通常不会在客户端明文存储,而是存储在服务器端或经过加密存储在客户端本地)。用户登录时,通过用户名、密码或其他认证方式向认证服务器请求授权。src目录下创建以下两个文件。
实现token的无刷新
m0_70902093的博客
06-29 4357
作用:在访问一些接口时,需要传入token,就是它。有效期:2小时(安全)。作用: 当token的有效期过了之后,可以使用它去请求一个特殊接口(这个接口也是后端指定的,明确需要传入refresh_token),并返回一个新的token回来(有效期还是2小时),以替换过期的那个token。有效期:14天。(最理想的情况下,一次登陆可以持续14天。
请求时token过期自动刷新token操作
10-14
主要介绍了请求时token过期自动刷新token操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
token刷新完整例子(VUE+NEST)
03-05
前端vue项目 进入Vue3AxiosTwoToken 执行pnpm i或npm i安装依赖 执行npm run dev运行 打开浏览器器输入"http://localhost:3200"访问 后端nest接口 进入token-test 执行pnpm i或npm i安装依赖 执行npm run start运行
axios如何利用promise无痛刷新token的实现方法
12-08
最近遇到个需求:前端登录后,后端返回tokentoken有效时间,当token过期时要求用旧token去获取新的token,前端需要做到无痛刷新token,即请求刷新token时要做到用户无知。 需求解析 当用户发起一个请求时,...
uniapp无刷新token实现过程
weixin_40618068的博客
10-20 2058
可以看到已经触发了刷新token接口,并且重新请求上次失败的列表接口,无刷新token逻辑已经正常,但为什么列表接口请求成功,还一直loading没关闭捏,就是因为后续代码未执行,await接口的返回没有成功resolve。路漫漫其修远兮,前端道路逐渐迷茫,时隔好久好久终于想起了我还有一个小博客,最近在一直在弄uniapp,属实有被恶心到,但也至少会用了,最近实现了一个比较通用的功能,就是无刷新token,但在过程中发现一个问题就是。3、排查await的列表接口为何没有成功resolve。
RustDesk服务器
hoffmannlin的博客
05-31 409
RustDesk Server
服务器硬件介绍(1)
最新发布
linkedin_21843693的博客
06-03 1108
机房中的工作站是一种高性能的计算机,它设计用于执行专业的计算任务,通常需要大量的处理能力、高速的图形处理和精确的输入设备。机房中的服务器是高性能计算机,专门设计用于存储、处理和分发数据、应用程序和服务。
【C++集群聊天服务器(一)】|Linux平台资源受限下boost库和muduo网络库源码编译安装
糖炒栗子
06-01 584
本人使用的服务器是2G2核 ubuntu22.04。
网络编程TP/IP (尹圣雨)(韩) 第一章 课后习题
qq_41885018的博客
05-31 525
底层 I/O(如 read 和 write)直接操作文件描述符,提供细粒度控制和高效的 I/O 操作。ANSI 标准定义的文件 I/O(如 fopen、fclose、fread、fwrite)是高级 I/O 函数,提供了更方便的接口和缓冲机制,适用于一般用途。
vue 无刷新token
04-18
好的,关于vue无刷新token的问题,我可以给您提供一些参考。在vue中,可以通过使用axios拦截器来实现无刷新token的功能。具体可以参考以下代码示例: ```javascript import axios from 'axios' // 创建axios...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值