jwt的token自动续约_JWT(JSON Web Token)自动延长到期时间

最新推荐文章于 2024-07-26 14:38:22 发布
最新推荐文章于 2024-07-26 14:38:22 发布
阅读量1k 收藏
点赞数
文章标签: jwt的token自动续约
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39646084/article/details/111802965
版权
本文探讨了JWT的令牌自动续约问题,指出频繁生成新令牌可能导致的安全性和存储问题。介绍了Auth0的刷新令牌解决方案,以及适用于Web应用和移动应用的不同策略。建议在JWT过期前刷新,或设置短期令牌并由客户端定时更新。还提到了第三方库jwt-autorefresh的使用。
摘要由CSDN通过智能技术生成

JWT的刷新问题

想对新REST API实施基于JWT的身份验证,但是令牌中设置了到期时间,感觉使用不太方便,那么问题来了,是否可以自动延长这个过期时间呢?如果用户频繁使用应用程序,就不希望用户每X分钟后需要重新登录。老是要用户登录,从用户体验的角度来说,肯定是非常糟糕的。

但延长过期时间会创建一个新的令牌(而且同时旧的令牌仍然有效,直到它过期)。并且在每个请求之后生成一个新的令牌,感觉是比较愚蠢的做法。另外,当有多个令牌同时有效时,感觉还会有安全问题。当然,我可以使用黑名单使旧的令牌失效,但是我需要存储令牌。而JWT的优点之一就是无需存储空间。

我找到了Auth0如何解决它的方式。他们不仅使用JWT令牌,还会刷新令牌:https://docs.auth0.com/refresh-token

但是还是同样的问题,为了实现这一点(不使用Auth0),我需要存储刷新令牌并维护它们的到期时间。那么这么做到底有什么用呢?为什么不只有一个令牌(不是JWT)并且在服务器上保持到期?

是否还有其他选择?是不是JWT不适合这种情况呢?

最佳解决方法

我在Auth0公司工作,我参与了刷新令牌功能的设计。

这一切都取决于应用的类型,下面是我们推荐的方法。

Web应用程序

一个好的模式是在它过期之前刷新令牌。

将令牌过期时间设置为一周,并在每次用户打开Web应用程序并每隔一小时刷新令牌。如果用户超过一周没有打开过应用程序,那他们就需要再次登录,这是可接受的Web应用程序UX(用户体验)。

要刷新令牌,API需要一个新的端点

最低0.47元/天 解锁文章
weixin_39646084
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信号量与令牌桶_限流的4种方式&令牌桶实战
weixin_39752941的博客
12-20 357
限流的4种方式正文限流限流是对某一时间窗口内的请求数进行限制,保持系统的可用性和稳定性,防止因流量暴增而导致的系统运行缓慢或宕机。常用的限流算法有令牌桶和和漏桶,而Google开源项目Guava中的RateLimiter使用的就是令牌桶控制算法。在开发高并发系统时有三把利器用来保护系统:缓存、降级和限流缓存:缓存的目的是提升系统访问速度和增大系统处理容量降级:降级是当服务器压力剧增的情况下,根据当...
令牌桶 客户端请求_使用刷新的令牌和cookie进行安全的客户端身份验证
weixin_26636643的博客
09-27 889
令牌桶 客户端请求To start off, this is my first article here. I’ve thought about writing it for a while now. Ever since we planned and implemented what we call a moderately secure way to actually authenticate...
每天一小步-JWT Token自动续期
qq_53924122的博客
07-24 675
实现JWTJSONWeb Tokens)生成Token自动续期
Jwt选型和实现
qq_45317823的博客
02-19 524
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
jwttoken自动续约_关于JWTToken自动续期的解决方案
weixin_39811101的博客
12-21 411
Apple iPhone 11 (A2223) 128GB 黑色 移动联通电信4G手机 双卡双待4999元包邮去购买 >前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对toke...
jwttoken自动续约_node.js - JWTJSON Web Token自动延长到期时间
weixin_34540485的博客
12-30 889
node.js - JWT(JSON Web Token)自动延长到期时间我想为我们的新REST API实现基于JWT的身份验证。 但是由于在令牌中设置了到期,是否可以自动延长它? 我不希望用户在每X分钟后需要登录,如果他们在那段时间内积极使用该应用程序。 这将是一个巨大的用户体验失败。但是延长过期会创建一个新令牌(旧令牌在到期之前仍然有效)。 每次请求后生成一个新令牌对我来说都是愚蠢的。 当...
jwttoken自动续约_关于JWT Token 自动续期的解决方案
weixin_39608301的博客
12-21 947
前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对token进行拦截校验,校验token是否过期,如果token过期则会让前端跳转到登录页面重新登录。因为jwt token中一般会包含...
jwttoken自动续约_SpringSecurity Jwt Token 自动刷新的实现
weixin_39954569的博客
12-21 1708
功能需求最近项目中有这么一个功能,用户登录系统后,需要给 用户 颁发一个 token ,后续访问系统的请求都需要带上这个 token ,如果请求没有带上这个 token 或者 token 过期了,那么禁止访问系统。如果用户一直访问系统,那么还需要自动延长 token 的过期时间。功能分析1、token 的生成使用现在比较流行的 jwt 来生成。2、token自动延长要实现 token自动延...
jwttoken自动续约_JWT Token 刷新和作废
weixin_39736047的博客
12-21 992
之前一篇文章简单介绍了下JWT的用法,涉及到token的签发和验证。有人说JWT不适合用于替换传统的 session+cookies 机制用于Web应用的用户登录状态维护,很大原因就是这块问题。虽然之前的案例里面,我们可以成功在登录后获取一个Token,然后访问服务器的时候带着这个Token,服务器就可以知道当前访问的用户Uid了,假设现在有一下需求:登录后7天不用重复登录超过30天没有访问网站则...
信号量与令牌桶_聊聊互联网限流方案
weixin_39781209的博客
12-30 342
Updated on 八月 2, 2018聊聊互联网限流方案首先要知道为什么要进行限流,限流的方式有那些,那些应用需要限流。在业务场景中,我们会遇到有百万甚至更加大的用户请求流量来访问接口,或者在业务对接过程中,业务提供方的访问频率控制,等等我们的业务都需要做限流处理,这个时候如果不做任何保护措施,服务器就会承受很大的处理压力,请求量很高,服务器负载也很高,并且当请求超过服务器承载极限的时候,系统...
图解+代码|常见限流算法以及限流在单机分布式场景下的思考
AlbenXie的博客
09-22 495
大家好,我是 yes。 今天来说说限流的相关内容,包括常见的限流算法、单机限流场景、分布式限流场景以及一些常见限流组件。 当然在介绍限流算法和具体场景之前我们先得明确什么是限流,为什么要限流?。 任何技术都要搞清它的来源,技术的产生来自痛点,明确痛点我们才能抓住关键对症下药。 限流是什么? 首先来解释下什么是限流? 在日常生活中限流很常见,例如去有些景区玩,每天售卖的门票数是有限的,例如 2000 张,即每天最多只有 2000 个人能进去游玩。 题外话:我之前看到个新闻,最不想卖门票的景区“
极狐GitLab 如何创建个人访问令牌?
最新发布
GitLab 中国发行版
07-26 769
如何创建极狐GitLab 个人访问令牌!
创建 GitHub 个人访问令牌
wzk4869的博客
07-25 4881
如歌创建 GitHub 个人访问令牌?
gitlab 删除分支_手把手教你GitLab部署
weixin_39946996的博客
11-30 1368
一、GitLab介绍GitLab 是一个基于Git实现的在线代码仓库管理系统的开源项目。使用Git作为代码管理工具,并在此基础上搭建起来的web服务,一般用于企业、学校等内部网络搭建Git私服。通过 Web 界面进行访问公开的或者私人项目。它拥有与Github类似的功能,能够浏览源代码,管理缺陷和注释。可以管理团队对仓库的访问,它非常易于浏览提交过的版本并提供一个文件历史库。可以创建不同...
Git使用个人访问令牌提交代码到仓库
热门推荐
qq_43401552的博客
01-31 1万+
Github新版本,无法使用账号和密码对GitHub仓库,操作Git使用个人访问令牌提交代码到仓库
【GitLab使用】使用GitLab的OAuth2接口进行认证,获取访问令牌
weixin_46453070的博客
12-29 4030
务必参考GitLab的官方文档,https://docs.gitlab.com/ee/api/oauth2.html,以获取最准确、最新的信息和指南。OAuth协议是一个广泛接受的互联网授权标准,它允许用户授予第三方应用有限的访问权限,而无需将完整的控制权交给第三方。OAuth应用程序是基于OAuth协议构建的,用于授权第三方应用访问用户在另一服务上的私有资源(如用户数据和功能)而无需向第三方应用暴露用户的登录凭据(如用户名和密码)的一种应用程序。将用户重定向到GitLab的授权页面。,并附上一个授权码(
令牌桶限流通过信号量实现
勿在浮沙筑高台
03-30 334
由于是我们限制自己的发起请求,对方限制我们的结果,因此根据对方给的限制每分钟300个请求的限制,使用令牌桶,来控制我们的请求。非上面限流算法,既然对方限流我们,那我们只要一直请求,请求结果如果是限制请求,那么我们sleep一段时间,再继续发起请求。场景2服务方对我们限流,为了能正确获得服务结果,我们也需要对我们的请求进行限流发起。1.为了防止第三方无节制的调用打垮我们的系统,需要对重要的请求进行限流。计数限流、固定窗口、滑动窗口、漏桶算法、令牌桶。2.服务方对我们调用的接口有每分钟限流。
jwttoken自动续约
05-19
JWTJSON Web Token)是一种基于 JSON 的开放标准(RFC 7519),用于在不同系统之间安全传输信息。在 JWT 中,Token 是由三部分组成:Header、Payload 和 Signature。其中 Payload 中存储了用户信息和过期时间等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值