关于token和refresh token

最新推荐文章于 2024-06-18 11:14:29 发布
最新推荐文章于 2024-06-18 11:14:29 发布
阅读量1.2w 收藏 26
点赞数 7
分类专栏: token refresh token 文章标签: refresh token token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41282397/article/details/81908025
版权

0x01. refresh token 的意义

传统的认证方式一般采用cookie/session来实现,这是我们的出发点。

1.为什么选用token而不选用cookie/session?
本质上token和cookie/session都是字符串,然而token是自带加密算法和用户信息(比如用户id),;而cookie本身不包含用户信息,它指向的是服务器上用户的 session,而由session保存用户信息。这点差别,决定token可以很容易的跨服务器,只要不同服务器实现相同解密算法即可;而cookie/session是存在于某一台服务器上,

要实现跨服务器比较困难,这是任何基于cookie/session应用天生的短板。

2.token需要过期时间吗?
token即是获取受保护资源的凭证,当然必须有过期时间。否则一次登录便可永久使用,认证功能就失去了其意义。非但必须有个过期时间,而且过期时间还不能太长,

参考各个主流网站的token过期时间,一般不超过1h.

3.token过期该怎么办?
token过期,就要重新获取。那么重新获取有两种方式,一是重复第一次获取token的过程(比如登录,扫描授权等),这样做的缺点是用户体验不好,每一小时强制登录一次几乎是无法忍受的。那么还剩第二种方法,那就是主动去刷新token. 主动刷新token的凭证是refresh token,也是加密字符串,并且和token是相关联的。相比获取各种资源的token,refresh token的作用仅仅是获取新的token,因此其作用和安全性要求都大为降低,所以其过期时间也可以设置得长一些。

4.refresh token需要过期时间么?
客户端需要保存token和refresh token,以便下一次访问能继续。如果客户端是浏览器,那么两个token都需要设置过期时间;但是可以设置得长一点,可以以天为单位(例如7天、15天);如果客户端是一个服务器,那么refresh token可以永久有效,直到下一次登录,refresh token本身被更新为止。

以上几个问题是层层递进的,虽说如此,也无法从逻辑上/理论上保证认证系统的绝对安全。但是,我觉得任何一种认证方式,都不能做到逻辑上的绝对安全和毫无漏洞。但是如果给攻击者造成了足够的麻烦,使其破解成本大大提升,那么我们就认为认证系统足够安全了。认证功能最后的落地实现,总是和现实想妥协的结果。

0x02.  refresh token 刷新机制

 access token 是客户端访问资源服务器的令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access token 泄露而带来的风险。

  然而引入了有效期之后,客户端使用起来就不那么方便了。每当 access token 过期,客户端就必须重新向用户索要授权。这样用户可能每隔几天,甚至每天都需要进行授权操作。这是一件非常影响用户体验的事情。希望有一种方法,可以避免这种情况。

  于是 Oauth2.0 引入了 refresh token 机制。refresh token 的作用是用来刷新 access token。鉴权服务器提供一个刷新接口,例如:

  http://xxx.xxx.com/refresh?refreshtoken=&client_id=

  传入 refresh token 和 client_id,鉴权服务器验证通过后,返回一个新的 access token。为了安全,Oauth2.0 引入了两个措施:

  1,Oauth2.0 要求,refresh token 一定是保存在客户端的服务器上的,而绝不能存放在狭义的客户端(例如移动 app、PC端软件) 上。调用 refresh 接口的时候,一定是从服务器到服务器的访问;

  2,Oauth2.0 引入了 client_secret 机制。即每一个 client_id 都对应一个 client_secret。这个 client_secret 会在客户端申请 client_id 时,随 client_id 一起分配给客户端。客户端必须把 client_secret 妥善保管在服务器上,决不能泄露。刷新 access token 时,需要验证这个 client_secret。

  于是,实际上的刷新接口应该是类似这样的:

  http://xxx.xxx.com/refresh?refreshtoken=&client_id=&client_secret=

  以上就是 refresh token 机制。refresh token 的有效期非常长,会在用户授权时,随 access token 一起重定向到回调 url,传递给客户端。

 

0x03. Token refresh的实现

实现原理:

在access_token里加入refresh_token标识,给access_token设置短时间的期限(例如一天),给refresh_token设置长时间的期限(例如七天)。当活动用户(拥有access_token)发起request时,在权限验证里,对于requeset的header包含的access_token、refresh_token分别进行验证:

1、access_token没过期,即通过权限验证;

2、access_token过期,refresh_token没过期,则返回权限验证失败,并在返回的response的header中加入标识状态的key,在request方法的catch中通过webException来获取标识的key,获取新的token(包含新的access_token和refresh_token),再次发起请求,并返回给客户端请求结果以及新的token,再在客户端更新公共静态token模型;

3、access_token过期,refresh_token过期即权限验证失败。

 

下面展示一下关键代码:

一、登录生成token的时候加入refresh标识

复制代码
 public TOKEN GetToken(string username, string password)
        {
            TOKEN token = new TOKEN();
            U_USER model = new BLLU_USER().Token(username, password);
            if (model != null)
            {
                string pwd = new SDDMD().MD5_jie(model.USERPWD);
                string md5 = new SDDMD().MD5_jia(model.USERID +"&"+ DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss") +"&"+ pwd+"&refresh"+ DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss"));
                token.access_token = md5;
                token.token_type = "Authorization";
                token.expires_in = DateTime.Now.ToString("yyyyMMddHHmmss");
                //token.refresh_token = DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss") + "&refresh";
            }
            return token;
        }
复制代码
二、在权限验证环节,对于access_token、refresh_token设置不同时间的期限。再根据判断结果返回状态。

复制代码
        /// <summary>
        /// 校验token是否有效
        /// </summary>
        /// <param name="encryptTicket">用户提交的Token值</param>
        /// <returns></returns>
        private int ValidateTicket(string encryptTicket)
        {
            try
            {
                var strTicket = new DBUtility.SDDMD().MD5_jie(encryptTicket);
                string[] TicketMsg = strTicket.Split('&');
                if (TicketMsg.Length == 4)
                {
                    string username = TicketMsg[0];//用户名
                    string passwrod = TicketMsg[2];//密码
                    U_USER model = new BLL.BLLU_USER().Token(username, passwrod);//登陆验证
                    if (model != null)
                    {
                        _userModel = model;
                        //定义Access_Token有效期为1天,精确到秒
                        DateTime dt = Convert.ToDateTime(TicketMsg[1]).AddDays(1);
                        //定义Refresh_Token有效期为1天,精确到秒
                        DateTime dtNew= Convert.ToDateTime(TicketMsg[3].Substring(7)).AddDays(7);//
                        if (dt > DateTime.Now)
                            return 1; //1:access_token没过期
                        else
                        {
                            if (dtNew > DateTime.Now)
                                return 2; //2:access_token过期,refresh_token没过期
                            else
                                return 3; //3:access_token过期,refresh_token过期
                        } 
                    }
                    else
                        return 3;
                }
                else
                    return 3;
            }
            catch { return 3; }
        }
复制代码
三、根据反馈的状态执行不同的方法,“2”(access_token过期,refresh_token没过期)状态下,给返回失败的response的header中加入识别的key值。

复制代码
        /// <summary>
        /// 定义Access_token验证过期但Reflesh_token有效返回请求刷新token的信息
        /// </summary>
        /// <param name="actionContext"></param>
        protected void RefreshToken(HttpActionContext actionContext)
        {
            var content = "refreshtoken";
            base.HandleUnauthorizedRequest(actionContext);
            var response = actionContext.Response;
            response.StatusCode = HttpStatusCode.Forbidden;
            response.Content = new StringContent(content, Encoding.UTF8, "application/json");
            response.Headers.Add("token", "refresh");//加入识别的key值
        }
复制代码
四、request方法中通过Catch捕获webException对象获取Key值,并获取新的token(包含新的access_token和refresh_token),再次发起请求,并返回给客户端请求结果以及新的token。

复制代码
        /// <summary>
        /// Get head中携带token发送请求
        /// </summary>
        /// <param name="url">WebAPI访问路径</param>
        /// <param name="tokentype">token验证方式 《Authorization》</param>
        /// <param name="tokenvalue">token 《"Bearer " + Token》</param>
        /// <returns></returns>
        public string GetRequest(string url, string tokentype, string tokenvalue)
        {
            try
            {
                string responseStr = string.Empty;
                WebRequest request = WebRequest.Create(http + url);
                request.Timeout = 60000;
                request.Method = "Get";
                request.Headers.Add(tokentype, tokenvalue);
                var response = request.GetResponse();
                Stream ReceiveStream = response.GetResponseStream();
                using (StreamReader stream = new StreamReader(ReceiveStream, Encoding.UTF8))
                {
                    responseStr = stream.ReadToEnd();
                }
                return responseStr;
            }
            catch (WebException e)
            {
                using (WebResponse response = e.Response)
                {
                    string result=response.Headers.Get("token");//获取识别的KEY
                    if (result == "refresh")//验证是否为状态“2”方法所加的key值
                    {
                        var strTicket = new SDDMD().MD5_jie(tokenvalue.Substring(6));
                        string[] TicketMsg = strTicket.Split('&');
                        string username = TicketMsg[0];//用户名
                        string passwrod = TicketMsg[2];//密码
                        string responseStr = GetRequest("CYUMS/Token/" + username + "/" + passwrod);//获取新的token
                        TOKEN tokenmodel = JsonConvert.DeserializeObject<TOKEN>(responseStr);
                        string secondResponseStr= GetRequest(url, tokenmodel.token_type, "Haval " + tokenmodel.access_token);//再次发起请求
                        return secondResponseStr + "|" + responseStr;//返回请求结果以及新的token
                    }
                    else
                        throw e;
                }
            }
        }
复制代码
五、客户端识别token是否更新,如果更新,就更新公共静态token模型中的access_token的值;

复制代码
            string user = new HttpHelper().GetRequest(getUserModel, tokenmodel.token_type, "Haval " + tokenmodel.access_token);
            string[] str = user.Split('|');
            if (str.Length == 2)//判断是否有token更新
            {
                TOKEN tokens = JsonConvert.DeserializeObject<TOKEN>(str[1]);
                tokenmodel.access_token = tokens.access_token;
            }
            U_USER users = JsonConvert.DeserializeObject<U_USER>(str[0]);
            //business code...

 

参考文献:

https://www.cnblogs.com/eedc/p/9088421.html

https://www.cnblogs.com/blowing00/p/4524132.html

http://www.cnblogs.com/minirice/p/9232355.html

 

 

写回
关注
  • 7
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于acess_tokenrefresh_token实现token续签
03-19
基于acess_tokenrefresh_token实现token续签
APP使用tokenrefreshToken实现保持登录状态.vsdx
07-16
App使用TokenRefreshToken 完成登录认证接口,保持登录状态。 这是使用TokenRefreshToken的流程图。
前后端利用accessTokenrefreshToken无感刷新
没有翅膀的我们,只是随便认为不能飞而已
06-15 5500
项目初衷 以jwt(由header,payload和signature组成)为例,用户登录成功,后端返回accessToken。前端保存,请求接口携带,一切都是水到渠成的 可是在acessToken失效时,你正好请求一次接口,接口就挂了,可能你就跳到登录页了,用户体验也不好。我们希望虽然过期了,但是页面偷偷地刷新,不影响当前接口运行。如果你的方案是把accessToken的有效期设置地久一点,比如100年。你真的是个机智Boy,那设置jwt的意义何在。 方案 accessTokenrefreshToken
【Sa-Token|1】Sa-Token使用教程
最新发布
颜淡慕潇
06-18 2123
Sa-Token 是一个轻量级的 Java 权限认证框架,提供了简单易用的 API 来处理登录、权限验证等功能。以下是一个详细的 Sa-Token 使用教程,涵盖基本的登录、权限管理、配置等内容。
`AccessToken`和`RefreshToken`安全令牌
qq_31532979的博客
06-04 1059
`AccessToken`和`RefreshToken`安全令牌
TokenRefresh Token
weixin_44153131的博客
02-14 3317
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。
tokenrefresh token
weixin_30776545的博客
07-22 538
https://www.cnblogs.com/minirice/p/9232355.html 在spring boot中结合OAuth2使用JWT时,刷新tokenrefresh token一直变化的原因 https://www.jianshu.com/p/2ccc5cee3cf2 Spring cloud oauth2.0 access_token 永不失效设置方法 https://...
tokenrefresh token
luminita_的博客
10-09 5395
最近一段时间新接手一个项目,第一次听说refresh token,下面谈谈我自己的理解。 首先,什么是token? 什么是refresh token?两者之间有什么关系? 1.token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 2.refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口,我们传入Refresh_t
TokenRefreshToken
weixin_34209406的博客
04-25 161
为什么80%的码农都做不了架构师?>>> ...
Oauth2.0(三):Access TokenRefresh Token
05-23 702
  access token 是客户端访问资源服务器的令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access token 泄露而带来的风险。   然而引入了有效期之后,客户端使用起来就不那么方便了。每当 access tok...
APP使用tokenrefreshToken实现接口身份认证,保持登录状态.vsdx
07-08
APP使用tokenrefreshToken实现接口身份认证,保持登录状态
tokenrefreshtoken
LINDYING的博客
05-11 1300
tokenrefreshtoken
PHP利用JWT实现tokenrefresh_token
打代码是一天,不打代码也是一天
11-06 1621
0. 引入 composer require firebase/php-jwt require __DIR__ . '/vendor/autoload.php'; use Firebase\JWT\JWT; 1. 生成token public function getToken() { $key = 'key'; // key $time = time(); // 当前时间 $token = [ 'iss' => 'http://www.buddha.c
APP使用tokenrefreshToken实现接口身份认证,保持登录状态
热门推荐
E=mc²
07-08 1万+
目录 一.问题 二.实现思路 三.遇到的坑 1.同一用户并发刷新Token 2.服务端已经产生了新的Token后,但并发过来的请求还在用老的Token请求数据 四.附件 一.问题 App 安装后,第一次启动时需要登录(在某些页面提示需要登录或者直接启动在登录界面)。而只要登录成功后,就不需要每次启动时再次登录。不过,当你的 App 长期未启动,再次启动时,就需要登录。这个是怎么实...
【我不熟悉的javascript】02. 使用tokenrefreshToken的管理用户登录状态
qq_17335549的博客
09-01 2737
使用tokenrefreshToken的管理用户登录状态
《PHP-tokenrefreshToken实现身份认证》
小霸王的博客
05-25 769
tokenrefreshToken实现身份认证:https://blog.csdn.net/Paulangsky/article/details/95048410 一.问题 App 安装后,第一次启动时需要登录(在某些页面提示需要登录或者直接启动在登录界面)。而只要登录成功后,就不需要每次启动时再次登录。不过,当你的 App 长期未启动,再次启动时,就需要登录。这个是怎么实现的?App 又是怎么保持登录状态的? 二.实现思路 客户端在登录的时候带上设备的设备号、appId,并将其作为参数传递到服务端。服务
thinkphp firebase/jwt-token, refresh_token使用
qq_27878777的博客
09-08 1209
thinkphp firebase/jwt-token, refresh_token使用
tokenrefresh_token
grow_的博客
07-18 1447
token,refresh_token失效
tokenrefreshtoken
11-10
tokenrefresh token是OAuth2.0授权机制中的两个重要概念。Token是在用户授权后由授权服务器颁发的访问令牌,用于保护用户数据的安全。Refresh Token是用于获取新的Token的令牌,当Token过期时,可以使用Refresh Token来获取新的Token,从而保证用户的持续访问。 在实际应用中,Token通常具有一定的有效期,过期后需要重新获取。而Refresh Token则通常具有更长的有效期,用于获取新的Token。这样可以避免频繁地向授权服务器请求Token,提高了系统的性能和安全性。 在调用修改Token的方法时,需要在载荷中同时写入TokenRefresh Token,以便在Token过期时使用Refresh Token获取新的Token。同时,需要注意Token的过期时间不能过长,否则会存在安全风险,但也不能过短,否则会影响用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值