token 过期刷新令牌_前后端分离中的无痛刷新token机制

最新推荐文章于 2024-05-29 18:55:09 发布
最新推荐文章于 2024-05-29 18:55:09 发布
阅读量2.2k 收藏 5
点赞数
文章标签: token 过期刷新令牌
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31491059/article/details/112939396
版权

今天我们来说一说前后端分离中的无痛刷新token机制,在手机app中应该经常用到,

大家都知道在前后端是以token的形式交互,既然是token,那么肯定有它的过期时间,没有一个token是永久的,永久的token就相当于一串永久的密码,是不安全的,

那么既然有刷新时间,问题就来了

前后端交互的过程中token如何存储?

token过期时,前端该怎么处理

当用户正在操作时,遇到token过期该怎么办?直接跳回登陆页面?😅(你确定这样用户不会打死你吗,老子好不容易表单填完准备提交????)

token如何存储

cookie的大小约4k,兼容性在ie6及以上 都兼容,在浏览器和服务器间来回传递,因此它得在服务器的环境下运行,而且可以设定过期时间,默认的过期时间是session会话结束。

localStorage的大小约5M,兼容性在ie7及以上都兼容,有浏览器就可以,不需要在服务器的环境下运行, 会一直存在,除非手动清除 。

对于这个问题,答案大致分为2种

存在 cookie 中

存在 localStorage 中

我觉得都可以,两种我都用😄

token过期时,前端该怎么处理

思路:token过期处理方式大概就是:

第一种:跳回登陆页面重新登陆

第二种:catch 401 ,然后

最低0.47元/天 解锁文章
多巴胺小姐
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
token响应式设置
adlixiaxia的博客
12-02 670
处理用户 Token Token 是用户登录成功之后服务端返回的一个身份令牌,在项目的多个业务需要使用到: 访问需要授权的 API 接口 校验页面的访问权限 … 但是我们只有在第一次用户登录成功之后才能拿到 Token。 所以为了能在其它模块获取到 Token 数据,我们需要把它存储到一个公共的位置,方便随时取用。 往哪儿存? 本地存储 获取麻烦 数据不是响应式 Vuex 容器(推荐) 获取方便 响应式的 登录成功,将 Token 存储到 Vuex 容器 获取方便 响应式
【SSO单点登录】JWT续签问题 && OAuth2.0 refreshToken刷新机制
老男孩的架构路
10-14 2223
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端,前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这里就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端需要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token里边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
关于token的无感刷新
M15547650126的博客
12-18 91
在许多 Web 应用程序,安全地管理用户身份是至关重要的。使用 JSON Web Token (JWT) 可以有效实现身份验证,但令牌的有效期限制了应用程序的使用体验。为了解决这个问题,我们可以实现一种无感刷新令牌(silent token refresh)的机制,当访问令牌过期时,自动获取新的令牌而无需用户重新登录。本文将介绍如何在前端应用程序实现 JWT 无感刷新令牌机制,主要使用 Axios 拦截器来处理令牌刷新和更新。
刷新令牌--refresh token
最新发布
生命不息,学习不止
05-29 336
刷新令牌token
token 过期刷新令牌_token过期怎么办
热门推荐
weixin_29109553的博客
12-24 1万+
大家好,我是时间财富网智能客服时间君,上述问题将由我为大家进行解答。token过期的解决方法是:token过期代表证书等过期的意思。需要重新获取code,然后得到access_token,即要重新调用授权界面,需要用refreshtoken刷新accesstoken,如果刷新取到了新的accesstokenrefreshtoken、expirein,需要用这些新的去替换掉关联表的数据,建议...
关于refresh token的总结
MPFLY的博客
03-01 6818
refresh_token使用说明和记录
13 令牌颁发方式 之 刷新令牌
Markix的博客
10-10 940
在授权码模式颁发令牌时,当发现该客户端支持 REFRESH_TOKEN 模式时,还会返回刷新令牌。客户端可以使用刷新令牌(refresh token)重新获取访问令牌(access token)。(一般来说访问令牌时效会比较短,刷新令牌时效比较长,通过刷新令牌获取访问令牌可以避免多次授权)
请求时token过期自动刷新token操作
10-14
在`checkStatus`函数,当检测到`token`过期时,会将原请求包装成一个`Promise`并加入到订阅列表,等待`token`刷新完成后重新执行。 综上所述,这个实现利用了`axios`的拦截器功能,结合`localStorage`存储`token`...
Android token过期刷新处理的方法示例
08-26
Android Token 过期刷新处理是移动端应用程序常见的问题之一。当用户的 Token 过期时,应用程序需要重新刷新 Token,以确保用户的身份验证。下面是 Android Token 过期刷新处理的方法示例,共有两种解决方案。 ...
axios如何利用promise无痛刷新token的实现方法
10-16
在本文,我们将深入探讨如何使用axios和Promise无痛刷新token。首先,我们需要了解什么是axios和Promise。Axios是一个基于Promise的HTTP库,既可以用在浏览器,也可以用在Node.js环境,它提供了丰富的API来...
vue前端利用refreshToken结合axios拦截器实现token的无感刷新
01-16
7、RefreshToken过期了,跳转回登录页面,重新登录。 适合人群: 1、具备一定前端基础,熟悉CSS的开发者。 能学到什么: 1、响应拦截器处理401权限错误。 2、防止重复请求refreshToken接口。 3、同时多个请求...
Android OkHttp实现全局过期token自动刷新示例
01-20
本文将探讨如何使用OkHttp库来实现全局过期token的自动刷新,以便在用户无感知的情况下完成这一过程。 首先,我们需要理解`token`和`cookie`的区别。`cookie`是服务器发送给浏览器的一小段数据,存储在用户的本地...
token过期机制的问题
qq_46940224的博客
10-15 4061
浅谈一下token过期机制的问题
详解token过期含义及解决方 token过期是否需要重新登录
专注java二开部署
05-21 3365
否则,客户端就重新登录即可。暂时没研究,有兴趣的朋友可以查查。详解token过期含义及解决方 token过期是否需要重新登录Web应用和用户的身份验证息息相关,从单一服务器架构到分布式服务架构再到微服务架构,用户安全认证和授权的机制也一直在演进,下文对各个架构下的认证机制做个总结。说明:JWT 最适合的场景是不需要服务端保存用户状态的场景,但是如果考虑到 token 注销和 token 续签的场景话,没有特别好的解决方案,大部分解决方案都给 token 加上了状态,这就有点类似 Session 认证了。
访问令牌(AccessToken)与刷新令牌RefreshToken
昨夜丶雨疏风骤的博客
05-15 1万+
源码点我 闲着无聊的我又来了,今天介绍一下访问令牌(AccessToken)与刷新令牌RefreshToken)。 最近公司来了几个Java,然后空气顿时充满了学术的氛围,每天都弥漫着垃圾回收,内存分配,堆栈等等各种技术问题的讨论,竖起了我的小耳朵,我偶然间听到了这个Token过期的问题,今天来说一说。 众所周知,JWT是我们常用的Token类型之一,但是JWT是无状态的,所有的信息,包括超时时间都会编码在JWT。如果Token设置的超时时间过长会显得有些不安全,如果设置的过短则必须频繁的登录。 在Id
token过期机制
qq_44677753的博客
12-24 5933
第一种方案:在服务器端保存 Token 状态,用户每次操作都会自动刷新(推迟) Token过期时间。 该方案在前后端分离的情况下,每秒可能发起很多次请求,每次都去刷新过期时间会产生非常大的代价。如果 Token过期时间被持久化到数据库或文件,代价就更大了。所以通常为了提升效率,减少消耗,会把 Token过期时保存在缓存或者内存。 第二种方案:使用 Refresh Token,它可以避免频繁的读写操作。这种方案,服务端不需要刷新 Token过期时间,一旦 Token 过期,就反馈给
refresh token获取access token在springboot框架的实例
magasea
07-23 3686
refresh token获取access token在springboot框架的实例 springboot 上代码 @Configuration @EnableAuthorizationServer @Slf4j public class OAuth2AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter ...
springboot jwt token前后端分离_前后端分离之JWT用户认证
06-09
好的,关于 Spring Boot JWT Token前后端分离问题,我可以为您提供一些帮助。 JWT(JSON Web Token)是一种基于 JSON 的开放标准(RFC 7519),用于在网络上安全传输声明。在前后端分离的应用,通常会使用 JWT 来实现用户认证和授权。 下面是一个简单的示例,演示了如何在 Spring Boot 应用使用 JWT 和前后端分离的方式进行用户认证。 首先,您需要在后端应用添加 JWT 相关的依赖。可以使用以下 Maven 依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 接下来,您需要编写一个 JWT 工具类,用于生成和验证 JWT。 ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import io.jsonwebtoken.security.Keys; import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; import javax.crypto.SecretKey; import java.util.Date; import java.util.HashMap; import java.util.Map; @Component public class JwtUtils { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private Long expiration; private static final String CLAIM_KEY_USERNAME = "sub"; private static final String CLAIM_KEY_CREATED = "iat"; private SecretKey generateKey() { return Keys.hmacShaKeyFor(secret.getBytes()); } public String generateToken(String username) { Map<String, Object> claims = new HashMap<>(); claims.put(CLAIM_KEY_USERNAME, username); claims.put(CLAIM_KEY_CREATED, new Date()); return Jwts.builder() .setClaims(claims) .setExpiration(new Date(System.currentTimeMillis() + expiration * 1000)) .signWith(generateKey(), SignatureAlgorithm.HS512) .compact(); } public Claims getClaimsFromToken(String token) { return Jwts.parserBuilder() .setSigningKey(generateKey()) .build() .parseClaimsJws(token) .getBody(); } public boolean isTokenExpired(String token) { Claims claims = getClaimsFromToken(token); Date expiration = claims.getExpiration(); return expiration.before(new Date()); } public boolean validateToken(String token, String username) { Claims claims = getClaimsFromToken(token); String subject = claims.getSubject(); Date expiration = claims.getExpiration(); return subject.equals(username) && !expiration.before(new Date()); } } ``` 在这个工具类,我们使用了 io.jsonwebtoken 库来实现 JWT 的生成和验证。在生成 JWT 时,我们使用了一个密钥(secret)来签名 JWT。在验证 JWT 时,我们还检查了 JWT 保存的用户名和过期时间是否正确。 接下来,您需要在 Spring Boot 应用添加一个 JWT 认证过滤器,用于在请求到达后端之前验证 JWT。 ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.context.SecurityContextHolder; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtUtils jwtUtils; @Autowired private UserDetailsService userDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { String header = request.getHeader("Authorization"); if (header != null && header.startsWith("Bearer ")) { String token = header.substring(7); String username = jwtUtils.getClaimsFromToken(token).getSubject(); if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = userDetailsService.loadUserByUsername(username); if (jwtUtils.validateToken(token, username)) { UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); SecurityContextHolder.getContext().setAuthentication(authentication); } } } chain.doFilter(request, response); } } ``` 在这个过滤器,我们从请求头获取 JWT,然后使用之前编写的 JwtUtils 工具类来验证 JWT。如果 JWT 验证成功,则将用户信息添加到 Spring Security 的认证上下文。 最后,在 Spring Boot 应用添加一个登录接口,用于生成 JWT。 ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.http.ResponseEntity; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.AuthenticationException; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.web.bind.annotation.*; import java.util.HashMap; import java.util.Map; @RestController @RequestMapping("/auth") public class AuthController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtUtils jwtUtils; @Autowired private UserDetailsService userDetailsService; @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) throws AuthenticationException { authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())); UserDetails userDetails = userDetailsService.loadUserByUsername(loginRequest.getUsername()); String token = jwtUtils.generateToken(userDetails.getUsername()); Map<String, Object> response = new HashMap<>(); response.put("token", token); return ResponseEntity.ok(response); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 在这个登录接口,我们首先使用 Spring Security 的 AuthenticationManager 来验证用户信息。如果验证成功,则使用 JwtUtils 工具类生成 JWT,并将 JWT 返回给前端应用。 以上就是一个简单的 Spring Boot JWT Token前后端分离示例。希望对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值