无感刷新-双token!!!

已于 2024-05-24 19:59:23 修改
阅读量323 收藏 3
点赞数 5
分类专栏: 面试题 文章标签: java 前端 服务器
于 2024-05-18 08:46:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64847107/article/details/139016778
版权

1.为什么要做双token?

双token系统通常用于提高安全性和分离不同级别的权限。在这种系统中,通常会有两个token:

  • Access Token(业务token):这是用户直接使用来访问资源的token。它的有效期较短,一旦过期,用户需要重新认证来获取新的access token。这样做的好处是即使access token被泄露,由于其有效期短,攻击者利用它进行不当操作的时间窗口有限

  • Refresh Token (刷新token):Refresh token是用来在access token过期后重新获取新的access token的。它的有效期通常较长,甚至可以说是永久的。但是,refresh token通常不会直接发送给客户端,而是保存在服务器端。当需要刷新access token时,客户端通过提供refresh token来请求新的access token。

此外,使用双token的原因还包括:

  • 安全性:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。即使access token被盗,由于其有效期短,损害可以被控制在一定范围内。

  • 权限管理:双token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。

  • 用户体验:双token系统可以在不影响用户体验的前提下,实现后台的安全管理和策略调整。用户不需要频繁登录,同时也能保证系统的安全性。

  • 灵活性:在需要进行更细粒度的权限控制或者策略调整时,双token系统提供了更多的灵活性。例如,可以在不改变refresh token的情况下,调整access token的有效期或权限范围。

总之,双token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新的token,来提高系统的安全性和灵活性。这种设计特别适用于需要与第三方应用共享权限而又不泄露用户敏感信息的场景。

 2.前端代码实现 (不做要求,复制过去即可)

const refreshToken = async () => {
    return await axios.get('/apis/bm-member-service-app/api/member/refresh_token', {
        params: {
            refreshToken: beimao_store.refreshToken
        }
    })
        .then(function (response) {

            const { code, msg, data } = response.data
            if (code != 0) {
                return Promise.reject(new Error(msg));
            }

            beimao_store.token = data.token;
            beimao_store.refreshToken = data.refreshToken;
            return Promise.resolve("成功");

        })
        .catch(function (error) {
            return Promise.reject(new Error(error));
        });
}

 axios完整代码:


import axios from 'axios'
import { showNotify, closeNotify } from 'vant';
import { beimaoStore } from '@/store/pinia'
const beimao_store =beimaoStore()
interface IResponseData<T> {
    code: number,
    message: string,
    data: T
}
const refreshToken = async () => {
    return await axios.get('/apis/bm-member-service-app/api/member/refresh_token', {
        params: {
            refreshToken: beimao_store.refreshToken
        }
    })
        .then(function (response) {

            const { code, msg, data } = response.data
            if (code != 0) {
                return Promise.reject(new Error(msg));
            }

            beimao_store.token = data.token;
            beimao_store.refreshToken = data.refreshToken;
            return Promise.resolve("成功");

        })
        .catch(function (error) {
            return Promise.reject(new Error(error));
        });
}


// let loading:any;
class Http {
    myAxios: any;
    constructor(config: any) {
        this.myAxios = axios.create(config);
        // 添加请求拦截器
        this.myAxios.interceptors.request.use(function (config:any) {
            //显示loading层
            showNotify({ type: 'warning', message: '加载中...', duration: 0 });
              // to do
            if (beimao_store.token) {
                config.headers.token = beimao_store.token
            }
            if (beimao_store.traceId) {
                config.headers.traceId = beimao_store.traceId
            }
            return config;
        }, function (error:any) {
           // 对请求错误做些什么
           closeNotify();
            return Promise.reject(error);
        });
        let that=this;
        // 添加响应拦截器
        this.myAxios.interceptors.response.use(async function (response:any) { 
            //关闭loading层
            closeNotify();
            const {code,msg,data} = response.data
            if(code === 0){
                return data;
              } else if (code == undefined){
               return response;
               //457 token过期
              } else if (code == 457){
                try{
                    await refreshToken()
                    return that.myAxios(response.config)
                }
                catch(error:any){
                    showNotify({ type: 'danger', message: error.msg });
                    return Promise.reject(error);
                }
                // window.location.href = '/login';
              }else if(code == 456){
                showNotify({ type: 'danger', message: msg });
                // window.location.href = '/login';
              }
               else if(code != 0){
                showNotify({ type: 'danger', message: msg });
                return Promise.reject(msg);
              }
        }, function (error:any) {
            // 对响应错误做点什么  
            closeNotify();    
            return Promise.reject(error);
        });
    }
    get<T>(url: string, params?: object, data = {}): Promise<IResponseData<T>> {
        return this.myAxios.get(url, { params, ...data });
    }

    post<T>(url: string, params?: object, data = {}): Promise<IResponseData<T>> {
        return this.myAxios.post(url, params, data);
    }

    put<T>(url: string, params?: object, data = {}): Promise<IResponseData<T>> {
        return this.myAxios.put(url, params, data);
    }

    delete<T>(url: string, params?: object, data = {}): Promise<IResponseData<T>> {
        return this.myAxios.delete(url, { params, ...data });
    }

}
const config = {
    baseURL: '',
    timeout: 30 * 1000,
    withCredentials: true,
}

export default new Http(config);

3.后端代码 

 controller:

/*
 * Copyright (c) 2020, 2024,  All rights reserved.
 *
 */
package com.beimao.controller;

import com.beimao.model.LoginInfo;
import com.beimao.service.LoginService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;

import java.util.Map;

@RestController
@RequestMapping("/api/member/login")
public class LoginController {

    @Autowired
    private LoginService loginService;


    /**
     * 登录
     *
     * @param loginInfo
     * @return
     */
    @PostMapping()
    public Map<String, String> login(@RequestBody LoginInfo loginInfo) {
        return loginService.login(loginInfo);
    }

    /**
     * 刷新token
     *
     * @param refreshToken
     * @return
     */
    @GetMapping("/refresh_token")
    public Map<String, String> refresh_token(String refreshToken) {
        return loginService.refreshToken(refreshToken);
    }

}

service:

package com.beimao.service;


import cn.hutool.core.lang.Validator;
import cn.hutool.core.util.ObjUtil;
import cn.hutool.core.util.ObjectUtil;
import cn.hutool.json.JSONObject;
import cn.hutool.json.JSONUtil;
import cn.hutool.jwt.JWTUtil;
import cn.hutool.jwt.JWTValidator;
import cn.hutool.jwt.signers.JWTSignerUtil;
import cn.smart.core.exception.BizException;
import cn.smart.core.model.LocalUser;
import com.beimao.dao.LoginDao;
import com.beimao.dao.MemberDao;
import com.beimao.model.LoginInfo;
import com.beimao.model.Member;
import lombok.extern.slf4j.Slf4j;
import org.springframework.amqp.rabbit.core.RabbitTemplate;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Service;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

@Service
@Slf4j
public class LoginService {
    @Autowired
    private LoginDao loginDao;
    @Value("${cn.smart.tokenx.key}")
    private String key;


    /**
     * 登录
     *
     * @param
     * @return
     */
    public Map<String,String> login(LoginInfo loginInfo) {
        //1.手机号是否为空,格式是否正确
        if (ObjUtil.isEmpty(loginInfo.getTel())) {
            log.debug("手机号不能为空");
            throw new BizException(461, "手机号不能为空");
        }
        if (!Validator.isMobile(loginInfo.getTel())) {
            log.debug("手机号格式不正确");
            throw new BizException(462, "手机号格式不正确");
        }
        //查询数据库进行登录
        List<Member> memberList = loginDao.select(loginInfo);
        if (ObjUtil.isEmpty(memberList)) {
            log.debug("手机号或密码错误");
            throw new BizException(463, "手机号或密码错误");
        }
        Member  member = memberList.get(0);

        return token(member);
    }

    /**
     * 生成token(长期token与短期token)
     * @param member
     * @return
     */
    public Map<String,String> token(Member  member) {
        Map<String ,String > tokenMap = new HashMap<>();
        //进行jwt
        //生成短期token
        Map<String, Object> map = new HashMap<String, Object>() {
            private static final long serialVersionUID = 1L;

            {
                put("id", member.getId());
                put("nickName", member.getNickName());
                put("exp", System.currentTimeMillis() / 1000 + 10); //10秒
            }
        };
        String token = JWTUtil.createToken(map, key.getBytes());
        tokenMap.put("token",token);
        //生成长期token
        Map<String, Object> map1 = new HashMap<String, Object>() {
            private static final long serialVersionUID = 1L;

            {
                put("id", member.getId());
                put("exp", System.currentTimeMillis() / 1000 + 60 * 60 * 24 *90 ); //90天
            }
        };
        String refreshToken = JWTUtil.createToken(map1, key.getBytes());
        tokenMap.put("refreshToken",refreshToken);
        return tokenMap;
    }

    /**
     * 刷新token
     * @param refreshToken
     * @return
     */
    public Map<String,String> refreshToken(String refreshToken) {
        //1.校验refreshToken是否为空
        if (ObjUtil.isEmpty(refreshToken)) {
            log.debug("refreshToken不能为空");
            throw new BizException(462, "refreshToken不能为空");
        }
        boolean b = false;
        // 验证算法,JWTValidator包含过期的验证,验证比较全面
        try {
            JWTValidator.of(refreshToken).validateAlgorithm(JWTSignerUtil.hs256(key.getBytes())).validateDate();
            b = true;
        }catch (Exception ex){
            ex.printStackTrace();
        }
        if(!b){
            throw new BizException(457,"token不正确");
        }
        //解析refreshToken获取id,查询数据将用户必要的信息放入token中
        JSONObject jsonObject = JSONUtil.toBean(JWTUtil.parseToken(refreshToken).getPayload().toString(), JSONObject.class);
        Integer id = jsonObject.getInt("id");
        Member member = loginDao.selectById(id);

        return token(member);
    }



}

dao:

package com.beimao.dao;

import com.beimao.model.LoginInfo;
import com.beimao.model.Member;
import org.apache.ibatis.annotations.Mapper;

import java.util.List;

@Mapper
public interface LoginDao {

    List<Member> select(LoginInfo loginInfo);

    Member selectById(Integer id);
}

mappper.xml:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "https://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.beimao.dao.LoginDao">
    <select id="select" resultType="com.beimao.model.Member">
        select * from member
        <where>
            <if test="tel != null">
                tel = #{tel}
            </if>
            <if test="password != null">
                and password = #{password}
            </if>
        </where>
    </select>
    <select id="selectById" resultType="com.beimao.model.Member">
        select id,nickName from member where id = #{id} limit 1
    </select>
</mapper>

明天更新
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue中前端利用refreshToken结合axios拦截器实现token的无刷新
01-16
内容概要: 1、首次登录的时候会获取到两个token(AccessToken,RefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的时候携带AccessToken。 4、当接口口返回401权限错误时,使用RefreshToken请求接口获取新的AccessToken。 5、替换原有旧的AccessToken,并保存。 6、携带新AccessToken,继续未完成的请求。 7、RefreshToken也过期了,跳转回登录页面,重新登录。 适合人群: 1、具备一定前端基础,熟悉CSS的开发者。 能学到什么: 1、响应拦截器处理401权限错误。 2、防止重复请求refreshToken接口。 3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
微信小程序自动刷新token,无刷新token,封装的api工具类
07-12
小程序登录开发通常是调用wx.login获取code,然后发送到后台,后台请求微信拿到用户openId,然后根据openId查询用户,有就走登录流程然后返回token,没有则创建用户之后走登录流程然后返回token,也就是都需要返回一个有时效性的token给小程序端,来保持登录状态,并且后续请求都需要token来验证用户。 那么就有一个问题,就是token的时效性,token过期,后台返回认证授权失败,那么怎么做到无刷新token,让用户即使token过期了自动刷新token呢?经过查询跟实践,我封装了一个请求类。 思路大致是根据后台返回的状态,如果返回的是授权失败,那么就会保存当前请求,调用刷新token的请求,成功之后再次发起之前保存的请求,这样就可以达到用户无刷新token。 具体封装类api.js如下,本次代码采用uniapp框架开发,实际项目中每次发起后台请求只需要调用req方法即可做到无刷新token
Token实现无刷新
New_user_的博客
01-19 1439
服务端把用户信息放入token里,设置一个过期时间,客户端请求的时候通过的header携带token,服务端验证通过,就可以从中取到用户信息。token是有过期时间的,比如3天,那过期后再访问就需要重新登录了。这样体验并不好。想想你在用某个app的时候,用着用着突然跳到登录页了,告诉你需要重新登录了。是不是体验很差?所以要加上续签机制,也就是延长token过期时间。主流的方案是通过双token,一个、一个。登录成功之后,返回这两个token访问接口时带上访问:当过期时,通过来刷新,拿到新的。
token实现无刷新
qq_63431773的博客
09-12 640
token 验证机制,其中 accessToken 过期时间较短,refreshToken 过期时间较长。当 accessToken 过期后,使用 refreshToken 去请求新的 token
项目中前端如何实现无刷新 token
qq_46617584的博客
07-14 532
刷新令牌,用于更新过期的 accessToken,相对于accessToken而言,他的时效期更长)未过期内,用户登录平台可直接进入首页,无需进行登录操作;场景:线上平台有时会出现用户正在使用的时候,突然要用户去进行登录,这样会造成很不好的用户体验。1.突然跳转到登录页面,是由于当前的 token 过期,导致请求失败;未过期,用户直接进入到了首页,进行其他操作。但是在用户操作的过程中,突然失效了,此时就会出现突然跳转到登录页面,严重影响用户的体验!失效,因此跳转到登录页面,让用户重新进行登录。
刷新-Token
最新发布
w2144217940的博客
06-01 489
总之,双token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新token,来提高系统的安全性和灵活性。这种设计特别适用于需要与第三方应用共享权限而又不泄露用户敏信息的场景。双token系统通常用于提高安全性和分离不同级别的权限。
刷新-token
qq_62965575的博客
05-17 382
token实现无刷新
请求时token过期自动刷新token操作
10-14
主要介绍了请求时token过期自动刷新token操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
token刷新完整例子(VUE+NEST)
03-05
前端vue项目 进入Vue3AxiosTwoToken 执行pnpm i或npm i安装依赖 执行npm run dev运行 打开浏览器器输入"http://localhost:3200"访问 后端nest接口 进入token-test 执行pnpm i或npm i安装依赖 执行npm run start运行
axios如何利用promise无痛刷新token的实现方法
12-08
最近遇到个需求:前端登录后,后端返回tokentoken有效时间,当token过期时要求用旧token去获取新的token,前端需要做到无痛刷新token,即请求刷新token时要做到用户无知。 需求解析 当用户发起一个请求时,...
登录时做 双token实现无刷新
weixin_58215826的博客
05-17 383
token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。总之,双token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新token,来提高系统的安全性和灵活性。:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 1006
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
Itmastergo的博客
05-31 801
异常是程序运行过程中出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
Java手动启动jar包
liangweihao的博客
05-29 294
【代码】Java手动启动jar包。
java调用cmd执行命令
weixin_45210565的博客
05-28 260
3、exec(String command, String[] envp) ,在调用外部程序之前设置系统环境变量,该变量仅供command入参使用,envp每个元素为一个系统环境变量,并且字符串格式为“环境变量名=环境变量值”。2、exec(String[] cmdArray) ,调用外部程序,入参cmdArray的元素将组合成为一条完整的外部可执行程序的启动路径或命令。1、exec(String command) ,调用外部程序,入参command为外部可执行程序的启动路径或命令。
java多线程创建方式
weixin_57763462的博客
05-28 1076
这种方式是通过创建一个实现了Runnable接口的类,并实现run()方法来创建线程。然后将这个类的对象作为参数传递给Thread类的构造器,并调用Thread对象的start()方法来启动线程。这种方式是通过创建一个实现了Callable接口的类,实现call()方法,并使用FutureTask或者ExecutorService来创建线程。这种方式的优点在于,由于Java不支持多重继承,如果你的类需要继承其他类,那么实现Runnable接口将是唯一的选择。// 在这里定义线程的执行逻辑。
Java面向数据编程1.1版本
极道Jdon的技术博客
05-28 510
虽然将所有这些方法都集中在 Item 上似乎是合理的,因为它们都与购买流程交互,但增加了 predictLowStock(与基于机器学习的预购系统交互)、registerForRecommendations(另一个 ML 系统,这次是物品建议)和 reportPurchase(登记潜在危险物品的购买),让我们怀疑所有这些操作是否真的属于同一个接口。:这是不同上下文场景的方式,放在Item一个类或接口中肯定不对,如同学生借书,将借书这个动作建模在学生这个类或接口一样,借书时一种具体场景。
Redis学习笔记【基础篇】
qq_42192253的博客
05-30 1030
这样以来,我们就可以把不同类型的数据区分开了。从而避免了key的冲突问题。HSET key field value:添加或者修改hash类型key的field的值。获取sorted set 中的指定元素的排名:ZRANK key member。HGET key field:获取一个hash类型key的field的值。通过给key添加前缀加以区分,不过这个前缀不是随便加的,有一定的规范。HMSET:批量添加多个hash类型key的field的值。HMGET:批量获取多个hash类型key的field的值。
vue 无刷新token
04-18
好的,关于vue无刷新token的问题,我可以给您提供一些参考。在vue中,可以通过使用axios拦截器来实现无刷新token的功能。具体可以参考以下代码示例: ```javascript import axios from 'axios' // 创建axios...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值