refreshToken刷新token后会变化的原因以及refreshToken的复用

最新推荐文章于 2025-03-27 15:31:36 发布
最新推荐文章于 2025-03-27 15:31:36 发布
阅读量6.8k 收藏 5
点赞数
分类专栏: 初入职场 文章标签: spring boot jwt oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43757027/article/details/120952752
版权
本文探讨了refreshToken在刷新access_token后发生变化的原因,主要是由于新生成的access_token ID(ati)导致。同时,介绍了如何通过配置认证服务器实现refreshToken的复用来延长其有效期。当设置为非重复使用时,refreshToken在有效期内可以无限次刷新,保持其有效性。此外,还讨论了refreshToken的两种使用模式:重复使用和非重复使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

refreshToken刷新token后会变化的原因以及refreshToken的复用

两次使用refreshToken刷新token返回的refreshToken如下:

第一次返回的refreshToken
第二次返回的refreshToken

将两次返回的refreshToken解密后可以看到。除了ati不一样,其它参数都是一样的

ati(access token):新的访问令牌的id
jti : refreshToken 的id

既然刷出了新的token,那么ati肯定变了,那么由这些信息加密成的refreshToken自然也是一直变化的

那么如果想无限制刷新refreshtoken的有效期怎么办?
可以在认证服务器配置refreshToken的复用

 public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        List<TokenEnhancer> tokenEnhancers = new ArrayList<>();
        tokenEnhancers.add(tokenEnhancer());
        tokenEnhancers.add(jwtAccessTokenConverter());
        tokenEnhancerChain.setTokenEnhancers(tokenEnhancers);
        endpoints
                .authenticationManager(authenticationManager)
                .accessTokenConverter(jwtAccessTokenConverter())
                .tokenEnhancer(tokenEnhancerChain)
                .userDetailsService(userDetailsService)
                // refreshToken非重复使用     
                .reuseRefreshTokens(false);
    }

refresh token有两种使用方式:重复使用(true)、非重复使用(false),默认为true

  1. 重复使用:access token过期刷新时, refresh token过期时间未改变,仍以初次生成的时间为准
  2. 非重复使用:access token过期刷新时, refresh token过期时间延续,在refresh token有效期内刷新便永不失效达到

参考链接

token身份验证,解决refresh_token多次刷新问题
m0_55141616的博客
11-02 1万+
基于Token的身份验证的基本过程如下: 1.用户通过用户名和密码发送请求。 2.服务器端程序验证。 3.服务器端程序返回一个带签名的token给客户端。 4.客户端储存token,并且每次访问都携带token到服务器端的。 5.服务端验证token,校验成功则返回请求数据,校验失败则返回错误码跳转重新登录。 使用refresh token的身份验证操作: 但是如果用户在正常操作的过程中,token过期失效了,要求用户重新登录,对用户的体验会很不好。 使用refresh token
php token过期刷新处理,Laravel Passport token过期后判断refresh_token是否过期
weixin_39629188的博客
04-12 1042
需求:前后端分离状态下,登录失效(token过期)后,前端需要知道下一步是跳转到登录页面还是使用refresh_token刷新token。这就需要后端根据是否可以刷新token(refresh_token是否过期)返回不同的标识,以供前端进行下一步操作。具体做法如下:1、新建RefreshToken中间件,每次登陆成功后查询是否保存了token和id的对应关系(登录失效后无法通过token获取对应...
无感刷新token设计模式!(token失效自动获取)
不想被卷出去的前端老鸟
06-30 498
1.token具有固定时效性,例如30分钟内有效,前端在token失效前,前端使用refresh token进行刷新,获取新token,原token和refresh token随即失效。2.refresh token同样具有时效性,通常时效性较长,例如7天,如果refresh token时效,需要通过登录重新获取token和refresh token。无感刷新token解决token失效接口401重复登录问题。普通token+刷新refresh token
第十四: jwt token ,refresh token(二)
最新发布
小画家
03-27 168
ErrorUserNotLogin = errors.New("当前⽤用户未登录")中间件 Middlewears。gin框架使⽤用jwt
vue+axios 使用JWT的时候如何使用refreshToken无痕刷新assetsToken并继续之前的请求?返回之前的数据?
程序员徐金的博客
09-21 2832
什么是jwt 简单来说就是一个加密令牌,服务端能通过算法加密用户信息并随着请求和相应传送,进而能让服务端知道登录的是谁,他有没有权限进入我的服务器获取信息。jwt详细的实现方式就不在这里做赘述,有兴趣的小伙伴可以通过下方链接了解更多关于jwt的知识 JWT戳这里了解更多 为什么、怎么刷新token 我们在使用jwt的过程中,首先会接触到两个token,一个是accessToken,另一个是refr...
token与refresh_token
grow_的博客
07-18 1739
token,refresh_token失效
tokenrefreshtoken
LINDYING的博客
05-11 2359
tokenrefreshtoken
Spring oauth2.0 刷新token后设置原token5分钟内继续可用
06-01 4101
默认情况下刷新token后原token会立马不可用。但是在某些情况下我们需要刷新token后原token在一定时间内继续可用(例如微信的刷新token)。 通过查看DefaultTokenServices中的刷新token方法refreshAccessToken可以看到生成新的token后会调用removeAccessTokenUsingRefreshToken方法,此方法默认会删除存储的相关token信息 private void removeAccessTokenUsingRefreshToken
thinkphp5框架API token身份验证功能示例
10-16
`refreshToken` 方法验证Refresh Token的有效性,然后更新数据库中的Token并返回新的Token。如果Refresh Token无效,方法将返回错误信息。 ```php public function refreshToken($refresh_token, $token) { // .....
ASP.NET Core 5身份验证实战:JWT与Refresh Token集成
Refresh Token是一种用于在用户登录后刷新访问令牌(JWT)的机制,从而延长用户的登录会话。 3. React.js: React.js 是一个用于构建用户界面的JavaScript库,由Facebook开发和维护。它主要用于构建单页面应用程序,...
Vue axios获取token临时令牌封装案例
11-19
通过这种方式,每个axios请求在发送前都会自动检查token的有效性,如果需要,会自动刷新token,从而简化了代码复用,并减少了潜在的错误。同时,这种封装方法使得在项目中添加新的请求时无需每次都手动处理token的...
关于refresh_token
dgiij的博客
08-11 615
其实不论多长时间,总会有超期时间,这时候用户访问时会跳转到登录界面要求重新登录,这样的体验是不太好的,所以一般情况下,登录成功后,可以提供两个token给前端,一个是access_token,也就是前面介绍的通常意义上的jwt,而另一个是refresh_token,它的有效期比access_token的要长一些,用户在access_token过期且access_token未过期情况下可为前端重新申请access_token(其实也可以同时更新refresh_token
什么是 Refresh Token
让每一行代码都有改变世界的力量
09-18 6799
什么是 Refresh Token AccessToken 和 IdToken 是 JSON Web Token (opens new window),有效时间通常较短。通常用户在获取资源的时候需要携带 AccessToken,当 AccessToken 过期后,用户需要获取一个新的 AccessToken。 Refresh Token 用于获取新的 AccessToken。这样可以缩短 AccessToken 的过期时间保证安全,同时又不会因为频繁过期重新要求用户登录。 用户在初次认证时,Refresh
Refresh Token介绍
热门推荐
NSPOKS的博客
09-30 1万+
Refresh Token介绍 上篇文章说到Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位,而Token的playload部分一般会存储相关的过期时间,一旦Token过期就会被网关拦截,因此如何设置Token刷新机制也是一个重点。 刷新Token探讨 过期...
Token和Refresh Token
weixin_44153131的博客
02-14 4660
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。
token与refresh token
luminita_的博客
10-09 5557
最近一段时间新接手一个项目,第一次听说refresh token,下面谈谈我自己的理解。 首先,什么是token? 什么是refresh token?两者之间有什么关系? 1.token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 2.refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口,我们传入Refresh_t
关于RefreshToken的介绍
weixin_63929524的博客
05-03 2377
客户端通常在请求中使用Token,当Token过期时,客户端将使用RefreshToken请求新的Token。服务器收到带有RefreshToken的请求时,将检查RefreshToken的有效性,并使用它来生成新的Token,同时返回新的Token和新的RefreshToken。通过上述步骤,我们就实现了双Token机制,可以减少用户Token过期重复登录问题,并且可以在Token过期时自动刷新Token,避免了客户端频繁反复请求的情况。首先,我们需要明确什么是Token,以及为什么需要使用Token
Token refresh的实现
weixin_30483013的博客
03-08 485
实现原理: 在access_token里加入refresh_token标识,给access_token设置短时间的期限(例如一天),给refresh_token设置长时间的期限(例如七天)。当活动用户(拥有access_token)发起request时,在权限验证里,对于requeset的header包含的access_token、refresh_token分别进行验证: 1、access_t...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值