双Token校验机制

最新推荐文章于 2024-04-14 15:11:50 发布
最新推荐文章于 2024-04-14 15:11:50 发布
阅读量630 收藏 2
点赞数 1
文章标签: github 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/swk1300524046/article/details/133880433
版权

前言

token是为了用户身份信息认证及信息安全性考虑而设置的;用户信息在传递过程中,如果token被劫持掉,劫持者可以在token有效期内对用户账户进行操作,对此我们一般对token设置短时效,以减少账户被盗用时间。

双token机制

双token在单token基础上设置两个token:

  • Access Token:简称短token,正常的本地存储的用户身份认证token,时效短;过期后需要重新获取。
  • Refresh Token:简称长token,出于安全性考虑存储在服务器,当短token过期后,需要根据长token去刷新短token;如果长token也过期了,就需要用户重新登录去重新获取这两个token。

背景机制

如前言所讲,token的短时效性是为了防止用户身份认证信息被劫持后长时间的操作用户账户,因此一般短token过期后我们会设置用户重新登录;
但是针对特殊场景、特殊需求,当一个场景为项目需要长时间在线时,为了用户体验(避免用户在浏览途中不断的重新登录),我们需要做到一定时间段内的无感登录;
因此可以使用双token机制,短token过期后,用长token去刷新短token,做到无感登录,当长token过期后重新登录。

安全机制
可能会有人问:

  1. 直接把token设置为长时间不就可以了吗?

首先,token就是为了防止用户身份信息被劫持后,账户被长时间操作,如果把token设置很长时效,就背离了token设置的初衷。

  1. 短token被劫持后,不是一样可以刷新长时间使用吗?

这个需要使用一些判断机制,具体机制可以根据项目实际情况设置,举个例子可以使用一个地理位置机制,当刷新短token时,可以检测登录地点与当前要刷新地点的位置是否一样;短token的刷新不是无脑刷新的,这个判断机制根据实际情况自行设置。

  1. 劫取长token不就可以无限操作了吗?

首先,长token是放置在服务器的,你的长token被截取时,就说明你们的项目服务器已经G了,这个时候还需要考虑token问题吗?就好似别墅的钥匙被人偷了,你可以换一把锁,当你的别墅门都没有了,还需要考虑换锁吗?

双token总结
双token机制额可以维护账户安全性,保证活跃用户的使用体验,Refresh Token有效期内无感登录,但是使用在特定场景,一般使用在需要长时间在线的项目。

BIG货
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
token实现token超时策略示例
09-04
用于restful的app应用无状态无sesion登录示例,需要的朋友可以参考下
token登录验证方案简单总结
云雨之石的博客
04-13 2952
今天做项目登录部分,跟旁边同事交流登录过程中封装的一个名为refreshToken的一个API,我有些纳闷,不懂这个refreshToken刷新token有什么用,是要跳转到登录页重新登录获取token吗?如果是这样,那为什么定这样一个名字而不叫做reLogin呢? 经过几分钟的交流,我得到了答案: 原来,我们的系统为了安全方面的考虑,定义了两个token,一个token验证登录的token,一个token是refresh的token,这两个token中,前者的过期时间较短,后者的过期时间较长 当用户登录
后端token登陆快速入门:token实现登陆,判断登陆过期
最新发布
Old_Secretary的博客
04-14 1029
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用token来解决。附带token流程和示例代码
前端技术 token的实现流程
qq_65615178的博客
04-25 595
具体的实现细节可以通过调用服务器端提供的API来实现,例如使用jQuery库中的Ajax函数来发送表单数据到服务器端,或者使用WebSocket来实现服务器端推送token值到用户手机上。同时,为了保证token认证的安全性,前端需要做好数据加密、输入验证及异常处理等方面的工作。
Token验证机制实现用户持续操作页面不过期
行云的博客
07-14 986
token验证机制场景设置 在基于token验证登录态这个情境下,可以想象一个场景,你在使用app或者在网页上进行操作时,你的token突然就过期了,然后只好被迫停止现在正在进行的操作跳转到登录页进行重新登录操作,这就非常的智熄了,这带给用户,特别是经常使用或正在进行某个操作的用户,一种非常不好的体验。这就是单token验证登录的一个缺点。因此对于经常/正在使用...
token 保持登录机制前端拦截实践
皮蛋很白的博客
10-15 1995
token 机制 关于**“ token 机制”**指的是使用户的登录状态在活跃期间保持有效的一种安全机制。 一般需要用户登录的系统为了校验用户的身份或登陆状态,会在用户登录时由服务器生成一个存储了或指向用户信息的 token,返回给客户端存储,这个 token 称为 access_token。 在请求其它接口的时候将 access_token 发送给服务器(通过 Header 或 Cookie)。 服务器根据 access_token 获取到用户信息,作为鉴权的依据。 而为了避免 token 被用户
登录生成token的理解
m0_64479814的博客
04-21 4643
token机制是为了提高系统安全性而采用的一种措施。它指的是在登录成功后,会生成两个token返回给客户端::用于访问受限资源,有一定的生命周期,过期需要重新获取。:用于刷新Access Token,生命周期较长。
token校验机制
热门推荐
marko_zheng的博客
11-15 1万+
token校验机制 什么是token token是客户端登陆的时候由服务端生成,之后每次请求都需要携带token进行请求。校验用户身份呢的作用 为什么使用token 减少敏感信息的传递 可以校验用户身份的准确性以及有效期 单token登录流程以及请求校验流程 注意 token是使用base64的形式进行加密的 是有一部分存储在客户端中,所以,token中不建议存放敏感信息 token校验机制 场景设想: ​ 用户正在app或者应用中操作 token突然过期,此时用户不得不返回登陆界面,重新进行一
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1321
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌。
JWT令牌(token)实现登录验证
weixin_43973161的博客
09-23 5455
就是在登陆操作之后由服务端返回两个token:accessToken和refreshToken,在之后的验证登录态的操作中使用这两个token进行验证,其中accessToken的过期时间相当短,refreshToken的过期时间相对于accessToken而言相当长,且会不断的刷新。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
SpringBoot框架集成token实现登录校验功能
08-25
主要为大家详细介绍了SpringBoot框架集成token实现登录校验功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Springboot 整合 JWT + Redis 实现Token 校验Demo
11-23
Springboot 整合 JWT + Redis 实现Token 校验Demo
flask 实现token机制的示例代码
09-18
主要介绍了flask 实现token机制的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
vue下axios拦截器token刷新机制的实例代码
10-15
主要介绍了vue下axios拦截器token刷新机制的实例代码,代码简单易懂,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
token验证
weixin_73195042的博客
12-02 498
token验证
【Vue3项目】登录注册--Token机制
aDiaoYa_的博客
08-12 1613
最近同项目的伙伴告诉我们一个“新词汇”——Token登录机制,emmmmm,确实没了解过,据说是在实现token长期有效的同时,防止token被第三方盗用,提高用户信息的安全性。于是,在了解了大概之后,我找了很多篇文章去学习Token的实现过程,总结如下。一般我们实现用户登录是:用户登录向服务端发送账号密码信息,登录失败返回客户端重新填写并发送用户信息;登录成功服务端生成token并返回token给客户端,客户端将token存本地。那么问题来了,token的有效期应该是多久呢?
web前端token的神奇功效-登陆验证
10-12 1302
细心的你可能会发现,我们在使用app的时候只需要登陆一次账号之后下一次打开就不需要再次登陆,但经过一段时间不登录之后又会要求我们重新登陆,你知道这是如何实现的吗? token验证 具体说明如下: 1.根据需要下载软件,完成注册账户 2.登录账户,后端返回 两个token信息,分别为 access_token 以及 refresh_token,access_token称之为短token,refresh_token称之为长token ...
token的认识
weixin_62122119的博客
06-29 443
token的存在 accessToken和refreshToken存在 acessToken存在周期较短,主要为refreshToken做铺垫,当token过期会不断的刷新token且每次的refreshToKen是会变的。基于token登录验证的情况下 1当你正在访问一个网页时 这时token过期那么你被下线重新登录,2特别是对于哪谢正常访问操作的网页app等的用户,过期时间到被下线,这就很智障,用户体验感极差;
接口调用token校验
05-20
一种常见的 token 校验方式是使用 JWT(JSON Web Token机制。JWT 由三部分组成:头部、载荷和签名。其中头部包含算法和类型信息,载荷包含用户的相关信息,签名则是对头部和载荷进行加密得到的。在客户端发送请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值