token失效 判断access_【OAuth2.0】记录对Access_Token过期这件事的疑问

最新推荐文章于 2023-05-21 16:43:01 发布
最新推荐文章于 2023-05-21 16:43:01 发布
阅读量1.6k 收藏 1
点赞数
文章标签: token失效 判断access
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39786155/article/details/111482774
版权

重要声明:本文章仅仅代表了作者个人对此观点的理解和表述。读者请查阅时持自己的意见进行讨论。

疑问来源

1、微信公众号授权登录

在做微信公账号授权获取用户信息时,就会有这样的步骤:

引导用户进入授权界面->用户同意授权->回调成功地址->在成功地址里获取access_token->使用access_token获取用户信息

这一套流程下来,基本就可以获取到微信用户的基本信息和openid了。

2、网页通过第三方登录

同样的,当你自己的网站想要实现使用QQ或者微博作为第三方便捷登录时,也要进行和上面类似的全套流程。这个流程其实是OAuth2.0授权里的一小部分知识。

那么,这个时候问题就来了,用户每次登录时都要先进入引导界面,然后授权成功回调,获取access_token。问题就是,既然每次都要走这么一遍流程,那么每次拿到的access_token就都是新的。可几乎每个文档里都写着:access_token的过期时间是多长多长的。

我合计着就想,这每次都是拿到新的,以前的也不会保存下来,为啥这东西还得定义一个过期时间呢?拿来干嘛的啊?

解释

当我发现access_token有过期时间这件事的的确确是一件正确的事情时,我就意识到了我是多么的愚蠢。以前之所以认为它的过期时间感觉毫无意义,其实就是因为 图痒图森破 。

如果你在接入第三方登录时,只有一个需求,那就是:使用第三方登录。 那么这时access_token的过期时间这一个说法对你来说的确是没有意义的,因为确确实实每次登录都相当于一次全新的授权,而且你甚至都不需要保存access_token这个数据到数据库。

如果你的系统不仅仅是只进行登录这么简单,那么,你就非常有必要注意access_token的过期时间了。当用户准许授权,你拿到了其access_token后,你就可以在access_token的有效使用期内,访问用户所有授权时指定的那些敏感操作了,而这些功能是远远超出了仅仅一个第三方授权登录那么简单的事情了。常常用户自己过一段时间就忘记了自己授权过哪些网站了,如果没有过期时间的限定,岂不是网站能永久的获取用户的这些信息了,如果权限大一点还能发布些什么也说不定。而有了过期时间,那么安全度就提升了非常多,当access_token过期后,就必须重新授权一次,此时必须用户亲自参与进来。

weixin_39786155
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
access_token验证过期
11-29
`access_token`是OAuth 2.0授权框架中的一部分,主要用于安全地访问受保护的资源。当用户授权一个第三方应用访问其数据时,服务器会返回一个`access_token`。这个令牌是短暂有效的,通常设置有一定的有效期,如一...
OAuth2.0学习(1-8) 授权方式五之Access_Token令牌过期更新
weixin_34409822的博客
06-02 1205
OAuth2.0Access_Token令牌过期更新 如果用户访问的时候,客户端的"访问令牌"已经过期,则需要使用"更新令牌"申请一个新的访问令牌。 客户端发出更新令牌的HTTP请求,包含以下参数: granttype:表示使用的授权模式,此处的值固定为"refreshtoken",必选项。 refresh_token:表示早前收到的更新令牌,必选项。 scope:表示申请的授权范围,不可以超...
【Vue】使用Vue实现div收缩效果
MicroAnswer的博客
09-10 9789
重要声明:本文章仅仅代表了作者个人对此观点的理解和表述。读者请查阅时持自己的意见进行讨论。 本文原文地址:Microanswer的博客【Vue】使用Vue实现div收缩效果。 一、效果展示 你看到的边框只是为了演示效果需要,实际组件是不会有任何内容的,它只提供收缩功能。此处内容可以是任何内容,组件会自动根据内容高度进行展开,需要用户关心的是否开还是关的状态。开发者也只需关心此状态,故此可以放心...
详解OAuth 2.0授权协议(Bearer token
u012324798的博客
04-20 1万+
OAuth 2.0授权协议1 认证(Authentication)2 授权(Authorization)3 OAuth 2.0与认证机制的联系4 详解OAuth 2.0授权协议4.1 授权码流程4.2 如何使用refresh_token换发新的access_token?4.3 access token的具体用法(Bearer token)4.4 客户机应用如何把access token传递给资源服...
Springsecurity Oauth2 设置token过期时间
热门推荐
qq_44605317的博客
06-17 2万+
1.设置token过期时间 如果我们是从数据库来读取客户端信息的话 我们只需要在数据库设置token过期时间 client_id:客户端的id resource_ids:资源服务器的id,多个用,(逗号)隔开 client_secret:客户端的秘钥 authorized_grant_types: ...
看完这篇文章,你如果还不知道怎么设置Oauth2令牌过期时间算我输
恒宇少年De成长之路
12-12 3968
OAuth2所生成的AccessToken以及RefreshToken都存在过期时间,当在有效期内才可以拿来作为会话身份发起请求,否者认证中心会直接拦截无效请求提示已过期,那么我们怎么修改这个过期时间来满足我们的业务场景呢? 目前一线大厂所使用的的AccessToken的有效期一般都是7200秒,也就是2小时,而且有获取的次数限制,所以发起请求的一方必须通过一定的形式保存到本地,以方便下一次发起请...
java对微信的OAuth2.0网页授权进行访问授权
11-06
微信OAuth2.0网页授权流程包括四个步骤:授权请求、重定向URI、获取Access Token和获取用户信息。 2. **授权请求** 开发者需要将用户引导至微信的授权页面,通过构造一个包含AppID、redirect_uri、response_type、...
php qq oauth2.0 实例
05-30
- **错误处理**:处理各种可能的错误情况,如用户拒绝授权、网络问题、Token失效等。 - **用户体验**:确保登录过程简洁流畅,减少用户等待时间,提供清晰的提示信息。 - **API限制**:了解QQ开放平台的API调用频率...
spring oauth2 JWT后端自动刷新access.docx
07-04
Token刷新 jwt token刷新方案可以分为两种:...网上大部分方案也是这种:失效后,使用refresh_token获取新的access_token。并将新的access_token设置到response.header然后跳转,前端接收并无感更新新的access_token
java 微信OAuth2.0网页授权登陆源码
05-04
Java微信OAuth2.0网页授权登录是微信开发者平台提供的一种安全机制,允许第三方应用通过用户授权获取微信用户的个人信息,从而实现用户身份验证和数据交互。在这个源码包中,你将找到实现这一功能的关键代码,确保了...
怎么样判断accesstoken是否过期
pengfeifei26的专栏
12-24 7237
用code去换取token的时候,会返回三个参数:现在的accesstoken的有效期是一个月,refreshtoken的有效期是两个月,expirein是过期时间(生命期,从获得的时刻起的剩余有效时间,以秒为单位);第一次登陆的时候需要和用户的人人uid一起与网站uid关联起来,还需要保存accesstoken的获取时间,以后调接口发新鲜的时候先判断一下accesstoken是否过期,算法:现...
Spring Security Oauth2 如何鉴别Token是否有效
紫眸的博客
09-20 1万+
版本 Spring Security Oauth2 : 2.3.5.RELEASE Spring Boot 2.1.3 Spring Boot Starter: 2.1.3.RELEASE 解决思路 Spring Security 的两大功能认证和鉴权,通过FilterChain(过滤器链)实现的,不同的请求经过不同的过滤器链。 Spring Security Oauth2 增加了拓展的过滤器...
详解token过期含义及解决方 token过期是否需要重新登录
专注java二开部署
05-21 3342
否则,客户端就重新登录即可。暂时没研究,有兴趣的朋友可以查查。详解token过期含义及解决方 token过期是否需要重新登录Web应用和用户的身份验证息息相关,从单一服务器架构到分布式服务架构再到微服务架构,用户安全认证和授权的机制也一直在演进,下文对各个架构下的认证机制做个总结。说明:JWT 最适合的场景是不需要服务端保存用户状态的场景,但是如果考虑到 token 注销和 token 续签的场景话,没有特别好的解决方案,大部分解决方案都给 token 加上了状态,这就有点类似 Session 认证了。
彻底解决spring security oauth2 自动续签token问题
weixin_44330810的博客
12-28 4394
彻底解决spring security oauth2 自动续签token问题
一,用户操作过程中token过期了怎么续上?
Weiyatong的博客
03-20 4610
一,用户操作过程中token过期了怎么续上?
自定义spring security oauth2 /oauth/token以及token失效/过期的返回内容格式
qq_37634156的博客
06-12 1万+
在整合Spring Security Oauth2的时候,获取token的接口/oauth/token的返回内容格式为固定的,如下图所示:而token过期或者无效的返回参数格式如下图所示:实际在我们的项目中有时候会要求自定义返回内容格式,下面分别介绍获取tokentoken失效/过期的自定义返回内容格式。 2、创建获取token接口返回值的转换类 创建一个类来完成对获取token接口的返回参数进行转换成我们自定义的格式,这里使用到了@JsonSerialize注解,该注解主要用于数据转换,不知
聊聊 OAuth 2.0 的 Token 续期处理
冷冷的博客
06-08 3845
Token 校验逻辑 // CheckTokenEndpoint.checkToken @RequestMapping(value = "/oauth/check_token") @ResponseBody public Map<String, ?> checkToken(@RequestParam("token") String value) { // 根据 token 查询保存在 tokenStore 的令牌全部信息 OAuth2Ac
IDEA操作git commit后(push项目失败:Access token is expired),撤销commit,恢复到提交前的状态
书启鸿蒙知秋枫
02-03 4513
应急方法:查看显示最近两次提交,当提交后,发现有的文件不想提交了或者push报错了。此时,我们就需要撤销当前提交了,又因为要撤销当前的提交,所以要将鼠标点击到上一次提交的日志上,右键弹窗菜单。文件不会更改,不同之处将被暂存,等待commit.(此时,恢复的后的状态新增的文件是绿色,修改的文件是蓝色)文件将被恢复到所选择提交的那个版本的状态.(此时,你所修改的或者是新增的文件都会丢失,所有的文件都是白色)文件将被恢复到所选提交的状态。(此时,恢复的后的状态新增的文件是红色,修改的文件是蓝色)
刚刚获取到的access_token为什么直接显示过期
qq_43618584的博客
05-27 6371
我直接从网站上获取到的access_token然后直接用来上传素材,直接就给我显示这个access_token已经过期了有大佬知道是为什么嘛
C# HttpWebRequest OAuth 2.0 access Token 配置
最新发布
06-08
string accessToken = "your_access_token"; HttpWebRequest request = (HttpWebRequest)WebRequest.Create(url); request.Headers["Authorization"] = "Bearer " + accessToken; WebResponse response = request....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值