接口请求身份认证的Token和RefreshToken的解决方案

最新推荐文章于 2024-06-04 14:18:50 发布
最新推荐文章于 2024-06-04 14:18:50 发布
阅读量1.3w 收藏 20
点赞数
文章标签: java json 移动开发
原文链接:https://juejin.im/post/5cb858276fb9a0688c039bdf
版权

前言

最近公司在改造接口的请求的验证,之前是登陆后返回一个token,在请求的时候动态添加到header中,以此来验证身份,当返回401直接去重新登录;现在登录返回tokenrefreshToken两个参数,拿token去添加header,当返回401时并不直接去登录而是拿refreshToken去请求一个接口,刷新得到新的tokenrefreshToken,拿到新的token再去请求当前返回401的接口,如果此时返回410则是真正的过期才需要去登录。

准备工作

  • 首先,因为之前用了okhttp的拦截器,我想到的还是在的拦截器中处理;
  • 其次,去网上搜一波儿看看各位大神是怎么实现的!嗯?你猜的没错,英雄所见略同,基本就是这个方案;
  • 最后,当然是开始编码了。

正式工作

  • 重写拦截器,继承自Interceptor,在okhttp3.Interceptor结构下;
  • 既然是返回401,在拦截器中去拦截我们的response,判断响应码不是HTTP的状态码,是我们和后台约定的状态码
Response response = chain.proceed(builder.build());
        ResponseBody responseBody = response.body();
        BufferedSource source = responseBody.source();
        source.request(Long.MAX_VALUE);
        Buffer buffer = source.buffer();
        Charset charset = UTF8;
        MediaType contentType = responseBody.contentType();
        if (contentType != null) {
            charset = contentType.charset(UTF8);
        }
        //获取响应体的字符串
        String bodyString = buffer.clone().readString(charset);
        CustomResponse customResponse = new Gson().fromJson(bodyString, CustomResponse.class);
        String code = customResponse.getCode();//后台的返回码
        String msg
最低0.47元/天 解锁文章
weixin_33967071
关注
  • 0
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
接口自动化--获取token用于接口请求
weixin_42719923的博客
07-07 2583
一、准备 工具:python+requests+unittest 二、接口文档 查询用户信息 三、编写脚本 从接口文档可知,想要查询用户信息,需要获取用户token (1)编写一个登录接口,获取token,考虑token是后续接口中公有部分,将其独立封装存放在get_token.py模块中 通常登录接口的中body参数有username和passport即可,但我们项目还需要获取一个clien token作为登录接口请求头参数,所以这里我们先获取clien token,再将clien to
api接口数据加密和身份验证
进击的Robert的博客
07-04 1万+
一、加密方式 对称加密和非对称加密。 对称加密:加解密是同一个密钥,速度快,数据接收方需要公布其私钥给数据传输方,安全性完全依赖于该密钥。如AES,3DES,DES等,适合做大量数据或数据文件的加解密。 非对称加密:加密用公钥,解密用私钥。公钥和私钥是成对的,即用公钥加密的数据,一定能用其对应的私钥解密,能用私钥解密的数据,一定是其对应的公钥加密。对大量数据或数据文件加解密时,效率较低。如R
`AccessToken`和`RefreshToken`安全令牌
最新发布
qq_31532979的博客
06-04 919
`AccessToken`和`RefreshToken`安全令牌
使用Token请求数据
wytraining
12-15 3092
1.什么是Token? token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 简单token的组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制字符串。为防止token泄露)。 2.为什么要用Token? Token 完全由应用管理,所
使用Postman搞定各种接口token实战
06-29 3007
现在许多项目都使用jwt来实现用户登录和数据权限,校验过用户的用户名和密码后,会向用户响应一段经过加密的token,在这段token中可能储存了数据权限等,在后期的访问中,需要携带这段token,后台解析这段token才允许用户访问接口
Refresh Token介绍
NSPOKS的博客
09-30 1万+
Refresh Token介绍 上篇文章说到Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位,而Token的playload部分一般会存储相关的过期时间,一旦Token过期就会被网关拦截,因此如何设置Token刷新机制也是一个重点。 刷新Token探讨 过期...
微服务下的身份认证和令牌管理共18页.pdf.zip
11-09
因此,采用基于令牌的身份认证机制成为了一种解决方案。 令牌管理是这个过程的关键组成部分。JWT(JSON Web Token)是一种常见的实现方式,它允许数据在各方之间安全地传输,同时无需在请求之间存储或传输任何敏感...
web api JWT token认证
04-24
JWT(JSON Web Tokens)是一种轻量级的身份验证和授权机制,它允许客户端通过在请求头中发送一个令牌来证明其身份。下面将详细解释这个主题。 1. **JWT Token简介** JSON Web Token由三部分组成:头部(Header)、...
Go-Charon-授权和身份验证服务
08-14
总之,Charon 是一个功能强大的 Go 开发的身份验证和授权服务,通过 OAuth2 和 OpenID Connect 协议提供安全的用户认证和授权解决方案。对于希望构建可扩展且安全的 Web 应用的开发者来说,Charon 是一个值得考虑的...
Vue axios获取token临时令牌封装案例
11-19
总之,该案例展示了在Vue.js和Axios环境中,如何优雅地处理token的获取、验证和刷新,以确保用户会话的安全性和流畅性。通过使用拦截器、Vuex和localStorage,开发者可以构建一个健壮的token管理系统,以适应不断...
深入理解令牌认证机制(token
10-16
总结来说,令牌认证机制(Token)是现代Web安全中的核心概念,尤其是在OAuth 2.0框架下,它为用户授权和资源访问提供了灵活而安全的解决方案。理解和掌握Token的原理和应用对于开发和维护安全的Web应用至关重要。
什么是 Refresh Token
里查叔叔
09-18 6618
什么是 Refresh Token AccessToken 和 IdTokenJSON Web Token (opens new window),有效时间通常较短。通常用户在获取资源的时候需要携带 AccessToken,当 AccessToken 过期后,用户需要获取一个新的 AccessTokenRefresh Token 用于获取新的 AccessToken。这样可以缩短 AccessToken 的过期时间保证安全,同时又不会因为频繁过期重新要求用户登录。 用户在初次认证时,Refresh
TokenRefresh Token
weixin_44153131的博客
02-14 3133
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。
refreshToken的作用讨论及几点疑惑
weixin_52405713的博客
01-28 1万+
在网上及oauth官方网文档转了一圈,看到如下理由: refreshToken的作用: 1、更加安全。直接接给access_token较长时间的有效期,有泄露风险,所以引用refresh_token,有效期长,但权限小。 2、类似session的检验方式,会在用户每次访问的时候刷新access_token的过期时间。此方案会有较大性能问题,有高频率无用刷新,尤其在请求频繁的时候。此时refresh_token的作用相当于降低了access_token的刷新频率。 3、在利用第三方登录,如微信登录、googl
关于RefreshToken的介绍
weixin_63929524的博客
05-03 1675
客户端通常在请求中使用Token,当Token过期时,客户端将使用RefreshToken请求新的Token。服务器收到带有RefreshToken请求时,将检查RefreshToken的有效性,并使用它来生成新的Token,同时返回新的Token和新的RefreshToken。通过上述步骤,我们就实现了双Token机制,可以减少用户Token过期重复登录问题,并且可以在Token过期时自动刷新Token,避免了客户端频繁反复请求的情况。首先,我们需要明确什么是Token,以及为什么需要使用Token
小程序订阅消息推送
spring_is_coming的博客
07-27 928
小程序的订阅消息与公众号的订阅消息有些不同, 还请注意了, 别掉坑了!!! 一丶阅读开发文档,需获取的有: 1丶模板推送地址 2丶模板ID 3丶accessToken地址 4丶accessToken类型 二丶获取access_Token private AccessTokenVo getAccessToken() { //获取RestTemplate对象 RestTemplate restTemplate = new RestTemplate(); //获取
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 17万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token请求所需参数:client_id、client_secret、grant_type、username、passwo...
前后端利用accessTokenrefreshToken无感刷新
没有翅膀的我们,只是随便认为不能飞而已
06-15 5257
项目初衷 以jwt(由header,payload和signature组成)为例,用户登录成功,后端返回accessToken。前端保存,请求接口携带,一切都是水到渠成的 可是在acessToken失效时,你正好请求一次接口接口就挂了,可能你就跳到登录页了,用户体验也不好。我们希望虽然过期了,但是页面偷偷地刷新,不影响当前接口运行。如果你的方案是把accessToken的有效期设置地久一点,比如100年。你真的是个机智Boy,那设置jwt的意义何在。 方案 accessTokenrefreshToken
refreshToken刷新token后会变化的原因以及refreshToken的复用
weixin_43757027的博客
10-25 6133
refreshToken刷新token后会变化的原因以及refreshToken的复用 两次使用refreshToken刷新token返回的refreshToken如下: 将两次返回的refreshToken解密后可以看到。处理ati不一样,其它参数都是一样的 ati(access token):新的访问令牌的id jti : refreshToken 的id 既然刷出了新的token,那么ati肯定变了,那么由这些信息加密成的refreshToken自然也是一直变化的 那么如果想无限制刷新refres
tokenrefreshtoken
11-10
tokenrefresh token是OAuth2.0授权机制中的两个重要概念。Token是在用户授权后由授权服务器颁发的访问令牌,用于保护用户数据的安全。Refresh Token是用于获取新的Token的令牌,当Token过期时,可以使用Refresh ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值