基于双Token实现登录设计思考的一些问题

已于 2022-09-30 10:18:47 修改
阅读量420 收藏 1
点赞数
文章标签: spring boot 后端 java
于 2022-09-28 17:11:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012685554/article/details/127091040
版权

做之前先考虑问题,希望能有大佬看到帮忙解答

JWT

JWT定义了可以表示与认证/授权过程有关的某些共同信息的方式。顾名思义,数据格式是JSON。JWT拥有subject,issuer,过期时间等通用属性。JWT与其他规范(如JSON Web签名(JWS)和JSON Web加密(JWE))结合使用时会变得非常有用。 这些规范不仅提供了授权token通常需要的所有信息,还提供了一种验证token内容的方法,以便它不会被篡改(JWS)和一种加密信息的方法,以使其对于客户端(JWE)。数据格式(及其他优点)的简单性已经帮助JWT成为最常见的token类型之一。

JWT

JWT是无状态的,如果为了实现修改密码踢下线,单设备登录等功能 为其在服务端存储状态显得太多余了,这样为什么不直接用身份令牌呢

为什么要刷新Token?

1、更加安全。直接接给access_token较长时间的有效期,有泄露风险,所以引用refresh_token,有效期长,但权限小。

为什么要靠refresh_token来进行刷新?不能刷新access_token吗?

1.只使用access_token会因一些频繁请求操作造成不断返回新Token,这样会有较大的性能问题(这个其实不成立,只使用access_token可以只在即将过期时刷新)
PS:括号里的操作会增加被盗窃token的可能性和威胁性,可以对比2看
2.refresh_token理论上只在接收和发送时使用两次,减少了网络链路中被盗用的可能
3.通过使用refresh_token使得access_token过期时间可以设置的很短,利用这个特性可以也可以使保存在其中的权限信息可以很快刷新
PS:2是个优点,但是感觉并不明显,3其实算不上优点 ,这个问题感觉还是没有解决

使用refresh_token后,是否两个token都要刷新返回?

不必要一定刷新,可以根据业务需求决定,如不刷新可以保证用户定期重新登录,如果刷新要考虑废弃旧refresh_token的情况,这似乎又需要储存在redis中。

基于access_token和refresh_token 如何实现互踢下线?

登录时把access_token放入redis中,每次刷新时也把redis内的刷新,以用户ID为key
这样第二个设备登录时,就会刷新掉redis内的token,这样需要每次请求都要查询,同时很违反jwt的无状态,不知道有没有其它办法

JWT需要二次加密码?

如果不想Payload 负载中的数据被解码查看的话,需要二次加密隐藏信息。

在access_token过期后,如果同时并发多个请求,该怎么处理?

PS 双Token跟JWT无直接关系,JWT更适用于邮件验证这种情况。

戏子宿醉
关注
EMO:重新思考高效的基于注意力的移动块模型
AI浩
07-29 3781
随着近年来存储/计算受限应用需求的增加,具有更少参数和低FLOPs的移动模型引起了开发人员和研究人员的极大关注。设计高效模型的最早尝试可以追溯到Inceptionv3[55]时代,它使用非对称卷积来取代标准卷积。然后,MobileNet[20]提出了深度可分离卷积,以显著减少计算量和参数,这被视为后续工作中基于cnn的基本组成部分[81,43,48,15]。
基于大语言模型的智能问答系统设计与实践【系列文章】
AI架构设计之禅
03-28 1970
随着人工智能技术的迅猛发展,智能问答系统在各行各业中得到了广泛应用。无论是智能客服、在线教育,还是智能助手,问答系统都在提升用户体验和服务效率方面发挥着重要作用。然而,传统的问答系统往往依赖于规则和模板,难以应对复杂多变的用户需求,且开发成本高,维护难度大。近年来,大规模预训练语言模型(Large Language Models, LLMs)的出现,为智能问答系统带来了新的解决方案。
基于Redis+Token实现登录认证
mameng1988的博客
04-19 1万+
登录认证即分为登录和认证两部分,下面聊下他们的实现逻辑。 1 登录 前端调用后端登录接口,后端验证用户名和密码等成功后,则做下面两个主要工作: 1 以用户id为key,生成的token为value,缓存到redis中并设置过期时间 2 以生成的token为key,用户信息为value,缓存到redis中并设置过期时间 最后将token及用户信息返回给前端,前端将token放在header中,调用其他接口时都携带者。 如果退出登录,则将上面的两条信息从redis中删除即可 2 认证 前端调用其他接口时,
token+redis
sunchaoyang727的博客
09-29 284
jwt与token+redis,哪种方案更好用? - 知乎
Token 三验证解决方案
最新发布
LYS00Q的博客
08-01 798
基于redis的token三验证方案最佳实践
token过期机制的问题
qq_46940224的博客
10-15 4179
浅谈一下token过期机制的问题
Springboot 整合 JWT + Redis 实现Token 校验Demo(简单实现
MR.骑士道
11-23 1万+
Springboot 整合 JWT + Redis 实现Token 校验Demo(简单实现
javaweb登录模块 , token + redis(防止多设备登录)
11-14
1、后台是否保存 token 以及 refresh_token ? 用Redis保存token以及refresh_token 作用: 实现单设备登陆 设备A登陆后生成的token保存到redis中,如果设备B登陆同一个账号,则将设备A在redis存储的token清除。 用户修改密码,实现重新登陆 用户修改密码后删除存储在redis的token,重新登陆获取新的token 2、如果refresh_token丢失了怎么办? 通过限制refresh_token的刷新次数来防止截获的refresh_token重复请求从而能够一直保持登录状态 3、什么时候需要用户跳转到登录页面重新登录? 修改密码后 refresh token过期 用户登出后 refresh token刷新次数超过限制 4、如何防止一个用户同时使用多个设备登录? 将token存储在redis中 方案: 登陆时将token和refresh_token存储在redis中, 以token/refreshToken + 用户id为键,并在redis更新refresh_token的刷新次数为0(以refreshCount + 用户
基于spring security实现vue2前后端分离的token刷新机制(完整代码详解,含金量拉满!)
qq_60614034的博客
03-27 3893
网上许多博主,放张图片讲讲token原理就发出来,没有含金量,还耽误大伙的时间。但是我不一样,我将会把代码的每一步骤都讲明白,并把详细代码放出来,让每一位看到的人都能跟着一步步自己搞,弄明白每一步的执行流程。要是觉得我跟那些博主一样,也是水文章,互相抄袭,请在评论区直接开骂。如果是第一次接触security请看这篇spring security单token后端分离详细配置。
java web多用户登录_Java 多用户登录限制的实现方法
weixin_42575325的博客
02-16 3015
最近比较空闲没有项目做,于是乎捋了捋平时工作会遇到的一些常见问题,首先想到了多用户登录限制问题,下面就对此问题做一点思考讲解。相关阅读:Java Web开发防止多用户重复登录的完美解决方案1、设计场景1)同一时刻不允许某个用户多地登录2)用户已在A处登录,现在从B处登录是允许的,但会把A处挤掉(考虑到用户在A处登录后因某些情况跑到了B处,但还想继续之前的工作,所以需要登录系统)3)B处挤掉A后,A...
大规模语言模型从理论到实践 实践思考
程序员光剑
05-30 999
大规模语言模型从理论到实践 实践思考 1. 背景介绍 1.1 语言模型的兴起 近年来,大规模语言模型(Large Language Models, LLMs)在自然语言处理(Natural Language Processing, NL
redis+token实现登录校验,前后端分离,及解跨域问题的4种方法
qi341500的博客
02-15 3022
一、使用自定义filter实现跨域 1、客户端向服务端发送请求 2、服务端做登录验证了,并生成登路用户对应的token,保存到redis 3、响应(报错)-----跨域问题 4、解决跨域问题--------服务器端添加过滤器,设置请求头 5、重新登录正确响应 6、客户端登redis录后访问页面,需要经过拦截器验证登录状态 7、编写拦截器 二、在任意配置类,返回一个 新的 CorsFIlter Bean 三、使用注解 (局部跨域) 四、手动设置响应头(局部跨域)
登录权限验证:token+redis
weixin_43952332的博客
11-24 1366
1了解token 什么是token: 1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 2、Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 3、使用Token的目的:Token的目的是
Springboot整合redsi+JWT开发登陆权限
qq_43731074的博客
07-27 486
//springboot整合redis+jwt做token刷新登陆有效时间 前置知识:redis基础和了解Spring的RedisTemplate的基本用法(这里不多说redis本人也是刚刚接触不久)、MD5密码加油加盟(在我前面的博客中有写)、JWT的做登陆权限入门中有解析 思路:用户密码登陆---->JwtInterceptor拦截器(放行登陆请求)--->Controller...
模仿某B长期登录有效之Token机制
weixin_53690059的博客
03-15 1128
如需demo案例请私信我。小程序地址:https://github.com/CaseOfShe/school演示地址:https://www.bilibili.com/video/BV1q3411g71P。
token优点_Token认证的优势与劣势
weixin_39600447的博客
12-20 1430
token 我们说的token,是指 访问资源的凭据 。使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大致流程:客户端使用用户名跟密码请求登录服务端收到请求,验证用户名与密码验证成功后,服务端会签发一个Token,再把这个Token 发送给客户端客户端收到 Token 以后可以把它存储起来,比如放在localStorage中客户端每次向服务端请求资源的时候需要带着服务端签...
Token+Redis登录认证
Enaium的博客
03-10 3021
首发于Enaium的个人博客 首先需要了解一下大概的步骤 登录生成一个Token存入Redis有效期为30分钟,返回到前端 之后前端每次请求,带上登录时返回的Token 服务器判断前端带来的Token是否在Redis服务器中 存在放行并且重置Token有效期,不存在拦截 一个简简单单的登录请求 @RequestMapping("/login") @ResponseBody public Result<String> login(@RequestBody UserDTO userDTO) {
redis实现token机制
热门推荐
风情
08-29 2万+
 token机制原理图  下面是实现token机制的代码 项目结构图(springboot项目) pom.xml文件 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-web&lt;/artif...
java redis token_redis+token实现一个账号只能一个人登录
weixin_31589747的博客
02-24 1649
自己在闲着没事的时候,突然想到了这么一个小功能,于是决定练习一下,首先想到的是如果一个账号只能一个人登录,可能会出现两个情况,一种是后登录者把前者的账号顶替掉,还有一种就是后者登录的时候会有提示当前账号已经登陆的信息,目前想的是这两个情况,所以打算先记录下来,如有更好的办法,请指教一二。1.后者登录顶替掉前者,这种方式可以保持登录不变(登录即返回token),在拦截器中判断后生成的token和通过...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值