refreshToken刷新token后会变化的原因以及refreshToken的复用

最新推荐文章于 2024-06-02 08:45:00 发布
最新推荐文章于 2024-06-02 08:45:00 发布
阅读量6.1k 收藏 5
点赞数
分类专栏: 初入职场 文章标签: spring boot jwt oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43757027/article/details/120952752
版权

refreshToken刷新token后会变化的原因以及refreshToken的复用

两次使用refreshToken刷新token返回的refreshToken如下:

第一次返回的refreshToken
第二次返回的refreshToken

将两次返回的refreshToken解密后可以看到。除了ati不一样,其它参数都是一样的

ati(access token):新的访问令牌的id
jti : refreshToken 的id

既然刷出了新的token,那么ati肯定变了,那么由这些信息加密成的refreshToken自然也是一直变化的

那么如果想无限制刷新refreshtoken的有效期怎么办?
可以在认证服务器配置refreshToken的复用

 public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        List<TokenEnhancer> tokenEnhancers = new ArrayList<>();
        tokenEnhancers.add(tokenEnhancer());
        tokenEnhancers.add(jwtAccessTokenConverter());
        tokenEnhancerChain.setTokenEnhancers(tokenEnhancers);
        endpoints
                .authenticationManager(authenticationManager)
                .accessTokenConverter(jwtAccessTokenConverter())
                .tokenEnhancer(tokenEnhancerChain)
                .userDetailsService(userDetailsService)
                // refreshToken非重复使用     
                .reuseRefreshTokens(false);
    }

refresh token有两种使用方式:重复使用(true)、非重复使用(false),默认为true

  1. 重复使用:access token过期刷新时, refresh token过期时间未改变,仍以初次生成的时间为准
  2. 非重复使用:access token过期刷新时, refresh token过期时间延续,在refresh token有效期内刷新便永不失效达到

参考链接

森林迷了~鹿
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APP使用tokenrefreshToken实现保持登录状态.vsdx
07-16
App使用TokenRefreshToken 完成登录认证接口,保持登录状态。 这是使用TokenRefreshToken的流程图。
thinkphp5框架API token身份验证功能示例
10-16
`refreshToken` 方法验证Refresh Token的有效性,然后更新数据库中的Token并返回新的Token。如果Refresh Token无效,方法将返回错误信息。 ```php public function refreshToken($refresh_token, $token) { // .....
OAuth2.0用refresh_token更新access_token令牌
张俊杰 的博客
02-07 6291
概述 使用oauth2时,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。只需修改认证服务器的配置,添加refresh_token的授权模式即可。 修改授权服务器配置,增加refresh_token配置 ​ @Autowired private UserService userService; @Override public void configure(AuthorizationServerEndpointsConfigurer endpoint
无感刷新token设计模式!(token失效自动获取)
不想被卷出去的前端老鸟
06-30 394
1.token具有固定时效性,例如30分钟内有效,前端在token失效前,前端使用refresh token进行刷新,获取新token,原tokenrefresh token随即失效。2.refresh token同样具有时效性,通常时效性较长,例如7天,如果refresh token时效,需要通过登录重新获取tokenrefresh token。无感刷新token解决token失效接口401重复登录问题。普通token+刷新refresh token
使用STS临时访问凭证通过客户端直连OSS对象存储服务器
最新发布
Hacynn的博客
06-02 1010
客户端直传是指客户端直接上传文件到对象存储OSS。相对于服务端代理上传,客户端直传避免了业务服务器中转文件,提高了上传速度,节省了服务器资源。 在典型的服务端和客户端架构下,常见的文件上传方式是服务端代理上传:客户端将文件上传到业务服务器,然后业务服务器将文件上传到OSS。在这个过程中,一份数据需要在网络上传输两次,会造成网络资源的浪费,增加服务端的资源开销。为了解决这一问题,可以在客户端直连OSS来完成文件上传,无需经过业务服务器中转。
tokenrefresh_token
grow_的博客
07-18 1414
token,refresh_token失效
什么是 Refresh Token
里查叔叔
09-18 6611
什么是 Refresh Token AccessToken 和 IdToken 是 JSON Web Token (opens new window),有效时间通常较短。通常用户在获取资源的时候需要携带 AccessToken,当 AccessToken 过期后,用户需要获取一个新的 AccessTokenRefresh Token 用于获取新的 AccessToken。这样可以缩短 AccessToken 的过期时间保证安全,同时又不会因为频繁过期重新要求用户登录。 用户在初次认证时,Refresh
Refresh Token介绍
热门推荐
NSPOKS的博客
09-30 1万+
Refresh Token介绍 上篇文章说到Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位,而Token的playload部分一般会存储相关的过期时间,一旦Token过期就会被网关拦截,因此如何设置Token刷新机制也是一个重点。 刷新Token探讨 过期...
TokenRefresh Token
weixin_44153131的博客
02-14 3102
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。
Vue axios获取token临时令牌封装案例
10-14
最后,为了提高代码的可维护性和复用性,开发者选择在axios的请求拦截器中统一处理token的检查和刷新逻辑,避免在每个请求中重复相同的代码。这样,即使后续添加新的API请求,也不需要手动处理token相关的问题,大大...
帝国cms oauth2.0 单点登录sso
04-28
4. 认证服务器验证成功后,会生成一个访问令牌(Access Token)和刷新令牌(Refresh Token),并通过回调URL将这些令牌返回给原始应用。 5. 应用收到令牌后,可以使用访问令牌访问受保护的资源,刷新令牌则用于在...
新浪腾讯微博分享demo
01-30
应用后端使用code、App Key和App Secret向新浪服务器请求Access Token刷新令牌(Refresh Token)。 腾讯微博的流程类似,同样需要在腾讯开放平台注册应用并获取相应的认证信息。在实现分享功能时,这两个平台都会...
.NET阿里巴巴平台的免登陆接口的实现代码
09-15
5. **刷新Access Token**:Access Token过期后,可以通过Refresh Token(在初次获取时会提供)来重新获取新的Access Token,保持服务的持续性。 6. **错误处理**:在调用过程中,需要处理可能出现的错误,如网络...
tokenrefresh token
luminita_的博客
10-09 5331
最近一段时间新接手一个项目,第一次听说refresh token,下面谈谈我自己的理解。 首先,什么是token? 什么是refresh token?两者之间有什么关系? 1.token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 2.refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口,我们传入Refresh_t
关于RefreshToken的介绍
weixin_63929524的博客
05-03 1669
客户端通常在请求中使用Token,当Token过期时,客户端将使用RefreshToken请求新的Token。服务器收到带有RefreshToken的请求时,将检查RefreshToken的有效性,并使用它来生成新的Token,同时返回新的Token和新的RefreshToken。通过上述步骤,我们就实现了双Token机制,可以减少用户Token过期重复登录问题,并且可以在Token过期时自动刷新Token,避免了客户端频繁反复请求的情况。首先,我们需要明确什么是Token,以及为什么需要使用Token
Token refresh的实现
weixin_30483013的博客
03-08 423
实现原理: 在access_token里加入refresh_token标识,给access_token设置短时间的期限(例如一天),给refresh_token设置长时间的期限(例如七天)。当活动用户(拥有access_token)发起request时,在权限验证里,对于requeset的header包含的access_tokenrefresh_token分别进行验证: 1、access_t...
VUE前端实现token的无感刷新,即refresh_token
程序猿的傻白甜
05-23 2750
通常,对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token。后端返回过期时间,前端每次请求就判断token的过期时间,如果快到过期时间,就去调用刷新token接口。:需要后端额外提供一个token过期时间的字段;
oauth2.0授权协议中刷新令牌refresh token的工作原理及生命周期分析
u013905744的专栏
12-16 1万+
在学习oauth2.0协议的时候,对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌,以及刷新令牌是如何工作的,技术细节是啥?比如通过refresh token可以让access token永久不过期吗? 下面就针对这两个问题进行分析。 为什么需要刷新令牌 如果access token超时时间很长,比如14条,由于第三方软件获取受保护资源都要带着access token,这样access token的攻击面就比较大。 如果access token超时时间很短,比如1个小时,那其超时之后
关于refresh token的总结
MPFLY的博客
03-01 6804
refresh_token使用说明和记录
tokenrefreshtoken
11-10
tokenrefresh tokenOAuth2.0授权机制中的两个重要概念。Token是在用户授权后由授权服务器颁发的访问令牌,用于保护用户数据的安全。Refresh Token是用于获取新的Token的令牌,当Token过期时,可以使用Refresh Token来获取新的Token,从而保证用户的持续访问。 在实际应用中,Token通常具有一定的有效期,过期后需要重新获取。而Refresh Token则通常具有更长的有效期,用于获取新的Token。这样可以避免频繁地向授权服务器请求Token,提高了系统的性能和安全性。 在调用修改Token的方法时,需要在载荷中同时写入TokenRefresh Token,以便在Token过期时使用Refresh Token获取新的Token。同时,需要注意Token的过期时间不能过长,否则会存在安全风险,但也不能过短,否则会影响用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值