前后端利用accessToken与refreshToken无感刷新

最新推荐文章于 2024-03-05 11:57:56 发布
最新推荐文章于 2024-03-05 11:57:56 发布
阅读量4.8k 收藏 45
点赞数 13
分类专栏: 笔记 文章标签: token jwt refreshToken
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44420276/article/details/117778749
版权
项目初衷

以jwt(由header,payload和signature组成)为例,用户登录成功,后端返回accessToken。前端保存,请求接口携带,一切都是水到渠成的
可是在acessToken失效时,你正好请求一次接口,接口就挂了,可能你就跳到登录页了,用户体验也不好。我们希望虽然过期了,但是token偷偷地刷新重新设置,但又不影响当前接口运行。如果你的方案是把accessToken的有效期设置地久一点,比如100年。你真的是个机智Boy。

方案

生成accessToken和refreshToken。这两个token都是用jwt生成的,payload中关于用户信息,是一致的,是同一账号登录,过期时间是不一样的,accessToken短一点,refreshToken长一点;签名也可以不一样。但是两者解码后用户信息是一样(登录时统一生成的)。 jwt是不会保存在内存和数据库的;推荐redis缓存,现在理解成键值的关系(其实hash会更好)。项目中关系,是accessToken过期了,但是本地缓存的refreshToken是有效时,请求刷新。

  • 用户初次进入应用,无accessToken,则跳到登录页登录;有accessToken的话,先进行校验是否过期,过期再校验refreshToken。如果refreshToken也过期,则清除缓存进入登录页,未过期就进入应用,同时根据refreshToken刷新生成的accessToken
  • 用户登录成功后返回accessToken与refreshToken。接口请求携带accessToken;接口通,本次请求结束;如果返回是accessToken过期的状态,根据refreshToken重新获取accesToken(重新走jwt.sign),redis也要更新refreshToken对应的accessToken值。当然两个都过期,就清除本地缓存,去登录页面。

在这里插入图片描述

前端

小demo来演示,accessToken过期后,如何无感刷新,重新请求接口。

演示

import axios from "axios";

let token = "default"; // default在这里表示失效的token值

function request(url, data = {}, callBack = null) {
  return new Promise(async (resolve, reject) => {
    axios(url, data)
      .then((res) => {
        if (callBack) {
          console.log("进入 callBack");
          callBack(res.data);
          return;
        }
        if (token === "accessToken") { // 此时accessToken为更新后的值。实际业务按code值判断
          resolve(res.data);
        } else if (token === "default") { // token状态码失效判断,重新请求刷新token。 实际业务按code值判断
          console.log("无token / token 校验失败");
          setToken().then(() => {
            request(url, data, resolve); // 以resolve对象赋值给callBack
          });
        }
      })
      .catch((err) => {
        reject(err);
      });
  });
}

function setToken() { // 此处是走刷新token的接口,当然如果接口说refreshToken也过期,则重置;重新登录
  return new Promise((resolve, reject) => {
    if (token === "default") { // 
      console.log("进入 token");
      token = "accessToken";
      resolve();
    } else {
      reject();
    }
  });
}

request("http://www.xxxx:8005/api/v1/category").then((res) => {
  console.log(res, 8888888);
});

运行结果如下
在这里插入图片描述
当然,你也可以模拟如果接口token未过期

let token = "accessToken";

在这里插入图片描述

后端

核心代码块

  • 登录成功返回accessToken, refreshToken;并将关联关系redis缓存起来
const redisClient = redis.createClient(REDIS_CONF.port, REDIS_CONF.host, {auth_pass: REDIS_CONF.password});


// 管理登录
router.post("/login", async (ctx) => {
  const { email, password } = ctx.request.body
  // 验证账号密码是否正确
  const user = await UserModel.findOne({
      where: {
        email
      }
  })
  if(!user){
  	throw new Error("账号不存在")
  }
  // 解密
  const correct = bcrypt.compareSync(password, user.password);
  if(!correct ){
  	throw new Error("密码错误")
  }
  // 生成accessToken和refreshToken
  const access_token = generateToken(user.email)
  const refresh_token = generateReToken(user.email) 
  addRefreshTokenToList(
    refresh_token,
    email,
    access_token,
    global.config.security.re_expiresIn
  );   
  ctx.response.status = 200;
  ctx.body = {
    code: 200,
    msg: "登录成功",
    access_token,
    refresh_token,
    expiresIn:global.config.security.expiresIn,
    token_type: "Basic",
  };
})


// 颁布令牌
const generateToken = function (uid) {
  const secretKey = global.config.security.secretKey; // 全局变量控制
  const expiresIn = global.config.security.expiresIn;
  const token = jwt.sign({
    uid
  }, secretKey, {
    expiresIn: expiresIn
  })
  return token
}


// 颁布刷新令牌
generateReToken (uid, scope) {
  const secretKey = global.config.security.re_secretKey;
  const expiresIn = global.config.security.re_expiresIn;
  const re_token = jwt.sign({
    uid
  }, secretKey, {
    expiresIn: expiresIn
  })
  return re_token
}


// 重新刷新
router.post("/refresh", async (ctx) => {
  const body = ctx.request.body;
  const refreshToken = body.refresh_token;

  if (refreshToken) {
    const result = await redisClient.exists(refreshToken); // 是否refreshToken过期
    if (result) {
      let refreshTokenPayload;
      var decode = jwt.verify( // 根据refreshToken解码获取用户信息
        refreshToken,
        global.config.security.re_secretKey
      );
      const email = decode.uid;
      const accessToken = generateToken(email); // 重新生成accessToken
      const response = {
        access_token: accessToken,
        expires_in: global.config.security.expiresIn,
        token_type: "Basic",
      };
      updateRefreshTokenfromList(refreshToken, accessToken); // 更新refreshToken与accessToken的绑定关系
      ctx.response.status = 200;
      ctx.body = response;
    } else {
      ctx.response.status = 401;
      ctx.body = {
        error: "Unauthorized",
        msg: "The refresh token does not exist",
      };
    }
  } else {
    ctx.response.status = 400;
    ctx.body = {
      error: "Bad Request",
      msg: "The required parameters were not sent in the request",
    };
  }
});

// 可能会用到溢出禁用
router.post("/revoke", async (ctx) => {
  const body = ctx.request.body;
  const refreshToken = body.refresh_token;
  if (refreshToken) {
    const result = await hasRefreshToken(refreshToken);
    if (result) {
      removeRefreshTokenfromList(refreshToken);
      ctx.response.status = 204;
      ctx.body = {
        msg: "refresh token revoke",
      };
    } else {
      ctx.response.status = 401;
      ctx.body = {
        error: "Unauthorized",
        msg: "The refresh token does not exist",
      };
    }
  } else {
    ctx.response.status = 401;
    ctx.body = {
      error: "Unauthorized",
      msg: "The refresh token does not exist",
    };
  }
});






function addRefreshTokenToList(refreshToken, email, accessToken, exp) {
  redisClient.hmset(refreshToken, {
    email,
    accessToken,
  });
  redisClient.expire(refreshToken, exp);
}

function updateRefreshTokenfromList(refreshToken, accessToken) {
  redisClient.hset(refreshToken, "accessToken", accessToken);
}

function removeRefreshTokenfromList(refreshToken) {
  redisClient.del(refreshToken, redis.print);
}

function hasRefreshToken(refreshToken) {
  return new Promise((resolve, reject) => {
    redisClient.exists(refreshToken, function (err, data) {
      if (err) {
        reject(err);
      } else {
        resolve(data);
      }
    });
  });
}

收工

Posden
关注
  • 13
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
thinkphp5框架API token身份验证功能示例
01-02
本文实例讲述了thinkphp5框架API token身份验证功能。分享给大家供大家参考,具体如下: 使用说明:登陆时生成token刷新用的refresh_token,返回给客户端,客户端收到保存本地localStorage等,每次访问接口带上token,后端验证token存在并且一致后方可执行接下来的动作,假如不存在就返回token过期,客户端调用刷新接口传入tokenrefresh_token,服务器端进行验证,验证通过重新生成新的token保存数据库,返回给客户端客户端刷新本地token访问即可继续,当refresh_token验证失败就清除数据库token,过期时间等信息 简单的t
从安全、开发、产品三个角度反对用refresh_token续期access_token的观点
Karka_的博客
03-02 1064
可见access_token也不是完美的,但相比refresh_token更方便也更安全,也确实难以找出一种完美的解决方案。
access_token VS refresh_token
RayPick的博客
11-29 5886
众所周知, 在 OAuth 2.0 授权协议中, 有两个令牌 token , 分别是 access_tokenrefresh_token, 为什么已经有了 access_token, 还需要 refresh_token 呢? 我们先看下面两者的介绍 access_token 访问令牌, 它是一个用来访问受保护资源的凭证 refresh_token 刷新令牌, 它是一个用来获取access token的凭证 下面是 OAuth 2.0 中的 token 工作流程图 回归主题, 这两个令牌的主要区别如下
使用axios结合access_tokenrefresh_token进行无感刷新
最新发布
qq_42372534的博客
03-05 705
配置可以记住本次请求的参数,以及利用拦截器,等待刷新完后通过。参数存放到数组中,等待刷新token完成再次请求。小技巧:将每次请求失败的。
如何实现Token无感刷新
weixin_55862073的博客
04-27 1234
为了解决这个问题,采取双TokenAccess_Token,Refresh_Token无感刷新,用户完全体会不到Token的变化,但实际上,Token已经刷新了。3.Access_Token过期后,前端携带Refresh_Token调用A接口得到新的Access_Token,把新的Access_Token替换旧的Access_Token存储起来。Refresh_Token:用于刷新Access_Token,即调用A接口需要携带Refresh_Token, 用它换得最新的Access_Token
accessTokenrefreshToken区别
Mr.绵羊的知识星球
09-01 1542
accessTokenrefreshToken关联和区别
nest access_tokenrefresh_token实现用户登录及无感刷新
aminwangaa的博客
03-07 2368
思路 用户登录 返回给前端 ACCESS_TOKEN(1h)、REFRESH_TOKEN(7d)、和 ACCESS_TOKEN 的失效时间(1h) 其他的接口请求时 携带 ACCESS_TOKEN Axios处理:前端根据 ACCESS_TOKEN 的失效时间判断过期或者即将过期, 或者接口返回用户校验失败401的错误,前端向后端发送刷新 REFRESH_TOKEN 的接口刷新 ACCESS_TOKENREFRESH_TOKEN 后端nestjs:authGuard拦截接口,判断是否需要accessTo
访问令牌(AccessToken)与刷新令牌(RefreshToken
昨夜丶雨疏风骤的博客
05-15 9647
源码点我 闲着无聊的我又来了,今天介绍一下访问令牌(AccessToken)与刷新令牌(RefreshToken)。 最近公司来了几个Java,然后空气顿时充满了学术的氛围,每天都弥漫着垃圾回收,内存分配,堆栈等等各种技术问题的讨论,竖起了我的小耳朵,我偶然间听到了这个Token过期的问题,今天来说一说。 众所周知,JWT是我们常用的Token类型之一,但是JWT是无状态的,所有的信息,包括超时时间都会编码在JWT中。如果Token设置的超时时间过长会显得有些不安全,如果设置的过短则必须频繁的登录。 在Id
jwtaccesstokenrefresh token详解
qq_37704442的博客
02-24 4083
jwtaccesstokenrefresh token详解
OAuth2中 access_tokenrefresh_token的各类配置与使用场景FAQ
weixin_45738731的博客
05-17 2821
过去几年的OAuth2经历与使用,总结一下,记录有关 access_token, refresh_token的各类配置与场景适应,到此以自问自答的形式把这些琐碎的点总结下来。说明:以下问答中的截图或表等信息以中配置为参考。
refresh token作用与使用方式vue2.0
m0_56683897的博客
07-21 890
通常情况来说,token失效会设计两种情况:1.token在浏览器储存时间过长,过期失效;2.同一个账号只能在一个浏览器登录存储token,在其他浏览器登陆上一个浏览器的账号会被抢占下线。由于不停的更新token,对于浏览器来讲,负载是非常大的,对于用户来说,体验感也不好,试想使用手机时,每隔10分钟锁一次屏,所以我们用到另个一保存token状态的refresh token,来保持token的有效性。
springSecurity-jwt:JWT access_tokenrefresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessTokenRefreshToken) version1太复杂,无法优化。 accessToken refreshToken流 安全登录处理流程 详细说明转到博客文章 JWT异常处理 安全异常处理(AuthenticationEntryPoint,AccessDeniedHandler) 仅使用AccessToken时 如果将AccessToken的有效时间设置得较长,则很方便,因为用户不需要频繁登录,但是只要有效时间长,恶意用户就可以窃取AccessToken,从而降低了安全性。 相反,如果将AccessToken的有效时间设置为较短时间,则安全性将提高,但由于用户频繁登录,其便利性将降低。 您可能会认为使JWT无效将不起作用,但是JWT只能在设置的到期时间过去之后才到期。 我不能强迫它在那之前过期。 同时使用
vue中前端利用refreshToken结合axios拦截器实现token无感刷新
01-16
内容概要: 1、首次登录的时候会获取到两个tokenAccessTokenRefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的时候携带AccessToken。 4、当接口口返回401权限错误时,使用RefreshToken请求接口获取新的AccessToken。 5、替换原有旧的AccessToken,并保存。 6、携带新AccessToken,继续未完成的请求。 7、RefreshToken也过期了,跳转回登录页面,重新登录。 适合人群: 1、具备一定前端基础,熟悉CSS的开发者。 能学到什么: 1、响应拦截器处理401权限错误。 2、防止重复请求refreshToken接口。 3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
Laravel API Passport认证的安装与配置和获取token刷新accesstoken
07-22
Laravel API Passport认证的安装与配置和获取token刷新accesstoken
乐橙accessToken,userToken,通过http请求的获取
12-06
乐橙accessToken,userToken,通过http请求的获取
基于acess_tokenrefresh_token实现token续签
03-19
基于acess_tokenrefresh_token实现token续签
Vant picker 多级联动
没有翅膀的我们,只是随便认为不能飞而已
12-04 9975
官网地址:链接 官网文档可能不是很完善,但仔细看文档,方法,类型其实都讲到的。 搭配弹出层使用 <van-field readonly clickable placeholder="选择城市" :value="station" @click="showPicker = true" /> <van-popup v-model="showPicker" po...
Vue 遍历单项选择 答题卡
没有翅膀的我们,只是随便认为不能飞而已
06-03 3578
UI设计稿 如果是定义好的,数目不多的话。可能就会写死。几道题目就在data里,写几个对应v-model绑定的对应值。(插一句在vue中选中状态,不能checked,selected作为选中状态,vue是数据绑定的,也就是说data中绑定初始值来默认选中。) 可是实际项目需求是 遍历问卷调查列表页,之后动态遍历问卷详情,也就是上图。如果只是渲染视图,应该没什么问题,关键在于v-model绑定值的...
accesstokenrefreshtoken
03-16
accesstokenrefreshtoken是OAuth2.协议中的两个重要概念。accesstoken是用于访问受保护资源的令牌,而refreshtoken则是用于获取新的accesstoken的令牌。当用户授权后,系统会颁发一个accesstoken给客户端,客户端可以使用该令牌访问受保护资源。accesstoken有一定的有效期,当过期后,客户端可以使用refreshtoken获取新的accesstoken,从而继续访问受保护资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值