token的时限多长才合适?

最新推荐文章于 2024-08-30 22:07:53 发布
最新推荐文章于 2024-08-30 22:07:53 发布
阅读量4.1k 收藏 2
点赞数 1
文章标签: git 数据库
原文链接:http://www.cnblogs.com/lilunjia/p/8400116.html
版权

在使用JWT时,一个让人纠结的问题就是“Token的时限多长才合适?”。对此,Stormpath这篇文章给出了一个可供参考的建议:

  • 面对极度敏感的信息,如钱或银行数据,那就根本不要在本地存放Token,只存放在内存中。这样,随着App关闭,Token也就没有了。
  • 此外,将Token的时限设置成较短的时间(如1小时)。
  • 对于那些虽然敏感但跟钱没关系,如健身App的进度,这个时间可以设置得长一点,如1个月。
  • 对于像游戏或社交类App,时间可以更长些,半年或1年。

并且,文章还建议增加一个“Token吊销”过程来应对Token被盗的情形,类似于当发现银行卡或电话卡丢失,用户主动挂失的过程。

关于“Token吊销”的实现,文章建议个方式如下:

  • 在DB中记录用户对应的Token
  • 实现一个Api Endpoint,负责将指定用户的Token从DB中删除

原文值得一读,并且在读之前,建议先读它的前篇

转载于:https://www.cnblogs.com/lilunjia/p/8400116.html

weixin_30826761
关注
JWT、 超详细、分析、token、鉴权、组成、优势
【CSDN】
12-22 2458
一、Token token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权。 1. API 鉴权 那么 API 鉴权一般有几种方式呢?我大概整理了如下: cookie + session 和平常 web 登陆一样的鉴权方式,很常见,不再赘述。 HTTP Basic 将账号和密码拼接然后 base64 编码加到 header 头中。很显然,因为账号和密码几乎是『明文』传输的,而且每次请求都传,安全性可想而知。 HTTP Digest 将账号和密码加上其他一些信息拼.
java 面试备战---分布式那点事
程序员爱酸奶
03-05 1519
分布式一致性:CAP理论 集中式应用进行服务化拆分后,必然会出现一个问题:如何保证各个节点(Node)之间的数据一致性? 比如以下场景: 用户首先发起一次更新操作,映射到节点A;然后,用户又做了一次查询操作,操作映射到了节点B,此时A和B的数据如果不一致,对用户来说就会造成困扰。 分布式系统为了提高可用性,必然会引入冗余机制(副本),而冗余便带来了上面描述的一致性问题。为了解决这类问题,加州大学伯克利分校的Eric Brewer) 教授提出了 CAP 猜想。2年后, Seth Gilbert 和 Nancy
token续时长_两种方式
qq_42533633的博客
11-29 2864
oauth中redis存储方式下为token续时长,两种方式让一个token一直续下去。
request,session,cookie,token的作用域和时长
远行的博客
06-23 2056
文章目录会话定义维护一个会话(session)特征四个过程个人理解cookie种类要点session对象生命周期$\color{red}{创建}$:$\color{red}{运行}$:$\color{red}{结束}$:应用作用范围缺陷requesttoken优势验证过程参考文章 会话 定义 会话是指一个终端用户与交互系统进行通讯的过程,比如从输入账户密码进入操作系统到退出操作系统就是一个会话过程...
token过期时间分平台(web和app)设置方法
最新发布
xingyuemengjin的博客
08-30 1522
本文介绍了Spring下的登录和鉴权机制的主要方法以及 token认证的主要流程,并介绍在spring中web端和APP端设置不同token过期时间的实现方法。主要基于SpringBoot+springSecurity+JWT框架实现。
jwt token
weixin_60732674的博客
09-20 1283
jwt
如何设置token有效期【5个应用场景分析+双token实现解析】
devops
05-10 1788
Token最常见的应用场景之一就是身份验证,验证token还有各种场景,你需要进一步了解token的有效期如何设置。
登入认证--grafana,nacos,jellyfin的token获取及其授权认证规则(附代码)
Wizard_s的博客
02-24 3004
nacos grafana jellyfin - jwt
Java中高级面试题总览(一)
热门推荐
击水三千里的专栏
03-29 2万+
高频面试题深入剖析
程序员生存图鉴:公司中层、私活接单、自由职业者?哪个更适合
2301_78234743的博客
04-22 614
1、base地:北京,东莞,深圳,上海,南京,西安,成都,武汉,长沙等华为研究所2、java、Pyt。没怎么问问题,求求别是kpi1.自我介绍2.毕业时间,为什么还在面试3.看我投的是杭州的岗位,问为什。要疯了要疯了要疯了要疯了要疯了要疯了要疯了要疯了要疯了要疯了要疯了要疯了要疯了要疯了要疯了要疯了要疯。商用车技术中心是最后投的,投了没两天就发短信了,但是发完短信到现在也一个月没动静了,面试的影子都见不。刚刚收到了湖北移动和电信的面试通知,都是25号,移动是早上9点,电信没给具体的时间,但好像应该也是在。
k8s系列01-什么是kubernetes?
tinychen
01-11 182
本文主要介绍什么是k8s以及k8s的基本架构和相关基础概念。 Kubernetes 一词源于希腊语,意为“舵手”或“飞行员”,作为一个可移植、可扩展的开源平台,k8s可以使用声明式配置来管理编排容器服务并且提高自动化水平和效率。同时,得益于庞大且仍不断在增长的生态系统支撑,k8s拥有海量可用的周边服务、工具和生态支持。 kubernetes官网上给出的定义如下:Kubernetes是用于自动部署,扩展和管理容器化应用程序的开源系统。(Kubernetes, also known as K8s, is an
JWT 使用入门(二)token有效期
qq_37534947的博客
10-12 4578
生成token,设置有效时间1分钟,其中密钥设置为"itcast"注意签发时间需要小于过期时间。
java获取token时间_token的设置与获取
weixin_33219360的博客
02-25 1375
@AutowiredprivateRedisClient redisClient;@AutowiredprivateUserMapper userMapper;@AutowiredprivateTaskMapper taskMapper;@Value("${REDIS_STU_SESSION_KEY}")privateString REDIS_STU_SESSION_KEY;@Value("${S...
token过期机制的问题
qq_46940224的博客
10-15 4219
浅谈一下token过期机制的问题
Token实现无感刷新
New_user_的博客
01-19 2003
服务端把用户信息放入token里,设置一个过期时间,客户端请求的时候通过的header携带token,服务端验证通过,就可以从中取到用户信息。token是有过期时间的,比如3天,那过期后再访问就需要重新登录了。这样体验并不好。想想你在用某个app的时候,用着用着突然跳到登录页了,告诉你需要重新登录了。是不是体验很差?所以要加上续签机制,也就是延长token过期时间。主流的方案是通过双token,一个、一个。登录成功之后,返回这两个token访问接口时带上访问:当过期时,通过来刷新,拿到新的。
OAuth2.0 token的自动续期问题
xiao_ying_bo_ke的博客
05-27 1751
OAuth2.0 的token自动续期源码分析及实现
java jwt刷新_jwt刷新token
weixin_32562455的博客
02-27 3035
前一段时间讲过了springboot+jwt的整合,但是因为一些原因(个人比较懒)并没有更新关于token的刷新问题,今天跟别人闲聊,聊到了关于业务中token的刷新方式,所以在这里我把我知道的一些点记录一下,也希望能帮到一些有需要的朋友,同时也希望给我一些建议,话不多说,上代码!1:这种方式为在线刷新,比方说设定的token有效期为30min,那么每次访问资源时,都会在拦截器中去判断一下toke...
token什么时候生成? token怎么生成? token有效期多久? token怎么判断token是否有效? 前端传递给后端的token? 怎么传? token来到后端,怎么流转?
07-14
Token的生成时机通常是在用户登录成功后。当用户提供正确的用户名和密码进行身份验证后,服务器会生成一个Token,并将其返回给客户端。 Token的生成通常有以下几个步骤: 1. 服务器生成一个包含用户信息和其他必要信息的Payload。 2. Payload通过一定的算法(如HMAC、RSA等)与服务器密钥进行加密,生成一个签名。 3. 将Payload和签名进行Base64编码,得到最终的TokenToken的有效期可以根据需求进行设置,可以是短暂的几分钟,也可以是长期的几个小时、几天甚至更长。一般情况下,Token的有效期较短可以提高安全性,但会增加频繁重新登录的次数。 在验证Token的有效性时,通常可以根据以下步骤进行: 1. 服务器接收到前端传递过来的Token。 2. 服务器解析Token,验证签名是否有效,并获取Payload中的信息。 3. 检查Token是否过期,如果过期则认为Token无效。 4. 可以根据需要进一步检查Token中的其他信息,如用户权限等。 前端通常通过在请求的Header中添加一个字段(如Authorization)来传递Token给后端。具体的传递方式可以是Bearer Token或其他方式,如: ``` Authorization: Bearer <token> ``` 当Token传递到后端后,后端会进行解析和验证操作。后端可以使用密钥来验证Token的签名,并根据Token中的信息进行相应的操作,如获取用户身份、权限验证等。后续的流转根据具体需求而定,可以根据Token中的信息进行相应的业务逻辑处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值