使用Simple JWT提供认证服务(详细介绍access_token和refresh_token的使用)

最新推荐文章于 2024-08-07 08:30:00 发布
最新推荐文章于 2024-08-07 08:30:00 发布
阅读量478 收藏 3
点赞数
分类专栏: # Django4.0 文章标签: django token jwt access_token refresh_token
MYJ-江启
本文链接:https://blog.csdn.net/weixin_46165569/article/details/133946611
版权

文章目录

基本概念

JSON Web Token(JWT)

JSON Web Token(JWT),又称为JSON令牌,是一种用于在网络应用之间安全地传输信息的开放标准(RFC 7519)。

  • 它采用了一种紧凑的、自包含的方式来表示信息,通常用于身份验证和授权。
  • JWT的设计目标是确保信息的完整性和安全性,同时具备易于使用和传输的特点。

Simple JWT

Simple JWT为Django REST框架提供了一个JSON Web Token身份验证后端

主要用途

  • 提供身份鉴别认证
  • 标识用户登陆状态

Cookie、Session、Token的区别

Cookie

一开始HTTP是无状态的,用户访问完Web网站浏览完就无任何连接
随着用户需求的提升和技术的发展,用户希望以交互的形式进行网站访问,例如发表评论,记录生活,便出现Cookie的技术。

  • Cookie是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。

以购物为例子
用户添加商品到购物车时,浏览器像服务器发送请求,服务器会查找到此商品到id并存储在Cooike中返回。浏览器将接收到的Cooike存储在本地,当下一次访问时会继续携带Cooike请求服务器。

但是随着购物车商品越来越多,请求的Cookie越来越多,请求压力也越大。同时我们会发现Cookie存放的信息本身就是服务器提供的,服务器本身有,我们为什么还要多才发送相同的数据?

Session

为了解决Cookie带来的问题,便出现出现了存储在服务器的Session

  1. 用户每次登陆,Session为其分配一个唯一的 sessionId,我们可以查到使用这个 sessionId的用户。而sessionId我们通过cookie返回给用户。
  2. 当后续再添加商品时我们通过携带的 sessionId的便可以知道是哪一个用户需要的商品

但是随着用户的增多,一台服务器不能满足我们的日常所需,我们会新增服务器,但是此时出现的问题是Session存储在哪个服务器,不能很好的支持分布式

Token

Token不存储在服务器端,所以无需考虑多台服务器Token的同步问题。
用户信息存储在Token中,我们每次只需要携带Token请求服务端我们就可以知道是哪个用户。
但是Token有效期不是永久的,当过期之后用户便无法通过认证,我们需要获取新的Token

Token在有效期内我们可以认为用户是登陆状态,当Token失效后我们就需要用户重新登录

Token续签

延长Token过期时间有两种方案

  1. access_token
  2. refresh_token

首次登陆
在这里插入图片描述
后续登陆
在这里插入图片描述
当 access_token 过期时,需要通过 refresh_token 来刷新,拿到新的 access_token 和 refresh_token

我们已经有了access_token便可以通过认证,为什么还需要refresh_token 呢?

我们只有输入账号密码通过验证之后才可以拿到access_token,access_token失效我们还需要再次输入账号密码重新登陆
但是有了refresh_token,我们就可以直接识别用户,无需再次输入账号密码便可以获取access_token

实际业务中,假设我们设置的access_token为1天,用户1天内无需输入密码,如果用户只使用1次后续很长一段时间不在使用,我们把这个用户标识为非活跃用户,后续某天再次使用系统需要重新登陆密码。如果用户在access_token有效的1天内每个一段时间访问,我们标识为活跃用户,当第二天token失效重新登陆密码会影响用户体验,此时我们如果使用refresh_token自动刷新用户就无需输入账号密码。

access_token 和 refresh_token的时效就需要设置不一致,当短的access_token 时效过了之后,发送时效长的 refresh_token 重新获取一个短时效access_token。
如果都过期,就需要重新登录了。

总结
活跃用户token失效不能让其跳转登陆界面
非活跃用户token失效需要跳转登陆界面

access_token 和 refresh_token时效设置

为了保证能够刷新活跃用户的access_token , refresh_token 的有效时间不能小于用户活跃时间点
一般,refresh_token 的有效时间 > 2 * access_token 的有效时间

比如,access_token 实效7天,那么 refresh_token 实效可以给15天,也可以给30天

我们每次请求需要携带access_token,但是我们不能每次请求前通过接口获取access_token,我们可以将首次获取的access_token存储,定期通过refresh_token刷新。

寅月十八
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django jwt token认证中rest_framework_jwtrefresh token有效期
hhhhh11的博客
09-11 3408
导读 jwt在业界已经广泛使用,但这篇文章不是用来介绍jwt的,也不是用来介绍rest_framework_jwt的,而是跟各位掰扯掰扯rest_framework_jwt中的refresh token功能,因为它很可能不是你想象中的refresh token哦 。 场景再现 在jwt鉴权过程中往往会使用accesstokenrefreshtoken,顾名思义,refreshtoken是用来更新后的token,如果项目中配置了refreshtoken过期时间一般就是指refreshtoken的有效期,
OAuth2的access_tokenjwt的异同
青青河边草
01-16 6467
https://www.jianshu.com/p/1f0a5fea9d79 相同点: 1) 都能实现访问资源服务的客户端验证, 都不需要session和cookie 2)两种方案都需要SSL安全保护,也就是对要传输的数据进行加密编码。安全地传输用户提供的私密信息,在任何一个安全的系统里都是必要的。否则任何人都可以通过侵入私人wifi,在用户登录的时候窃取用户的用...
springSecurity-jwt:JWT access_tokenrefresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessTokenRefreshToken) version1太复杂,无法优化。 accessToken refreshToken流 安全登录处理流程 详细说明转到博客文章 JWT异常处理 安全异常处理(AuthenticationEntryPoint,AccessDeniedHandler) 仅使用AccessToken时 如果将AccessToken的有效时间设置得较长,则很方便,因为用户不需要频繁登录,但是只要有效时间长,恶意用户就可以窃取AccessToken,从而降低了安全性。 相反,如果将AccessToken的有效时间设置为较短时间,则安全性将提高,但由于用户频繁登录,其便利性将降低。 您可能会认为使JWT无效将不起作用,但是JWT只能在设置的到期时间过去之后才到期。 我不能强迫它在那之前过期。 同时使用
jwtaccesstokenrefresh token详解
qq_37704442的博客
02-24 4637
jwtaccesstokenrefresh token详解
Token设计:Access TokenRefresh Token
最新发布
常备不懈
08-07 848
在现代Web应用中,身份验证和授权是确保安全性的关键部分。Access TokenRefresh Token是用于这一过程的重要组件。
JWT Token、ID TokenAccess TokenRefresh Token
乌龟的专栏
02-22 7501
JWT Token、ID TokenAccess TokenRefresh Token
accessTokenrefreshToken区别
Mr.绵羊的知识星球
09-01 2454
accessTokenrefreshToken关联和区别
Access TokenRefresh Token
daobuxinzi的博客
02-09 3119
  access token 是在 Oauth2.0 协议中,客户端访问资源服务器的令牌(其实就是一段全局唯一的随机字符串)。拥有这个令牌代表着得到用户的授权。它里面包含哪些信息呢?答案是:   哪个用户 在什么时候 授权给哪个客户端 去做什么事情   对于 Oauth2.0 不了解的读者,请看我的另一篇文章:简单介绍 Oauth2.0 原理   这个授权是临时的,有一定有效期。这是因为,access token使用的过程中可能会泄露。给 access token 限定一个...
基于acess_tokenrefresh_token实现token续签
03-19
总结,基于acess_tokenrefresh_token的续签机制提供了一种平衡安全性和用户体验的方式。它允许用户在不重新输入凭证的情况下保持会话活跃,同时限制了令牌被盗用的风险。在实际应用中,开发者应根据应用的具体需求...
api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr
09-24
在前后端分离的架构中,API成为了连接前端与后端的主要桥梁。`api.rar_Token 使用redis_django_exclaimedthp_...同时,使用JWT提供了无状态的身份验证,降低了前后端通信的复杂性,使得API的权限管理更加灵活和可控。
Laravel开发-laravel_access_token
08-28
综上所述,Laravel的`laravel_access_token`涉及到OAuth2授权和Laravel Passprot的使用,是构建安全、可扩展的API的关键技术。了解并熟练掌握这些知识点,有助于开发者构建符合标准且易于维护的API服务。在实际项目...
详解ASP.NET Core Web Api之JWT刷新Token
12-16
前言 如题,本节我们进入JWT最后一节内容,JWT本质上就是从身份认证服务器获取访问令牌,继而对于用户后续可访问受保护资源,但是关键问题是:访问令牌的生命周期到底设置成多久呢?见过一些使用JWT的童鞋会将JWT过期时间设置成很长,有的几个小时,有的一天,有的甚至一个月,这么做当然存在问题,如果被恶意获得访问令牌,那么可在整个生命周期中使用访问令牌,也就是说存在冒充用户身份,此时身份认证服务器当然也就是始终信任该冒牌访问令牌,若要使得冒牌访问令牌无效,唯一的方案则是修改密钥,但是如果我们这么做了,则将使得已授予的访问令牌都将无效,所以更改密钥不是最佳方案,我们应该从源头尽量控制这个问题,而不是等
RefreshTokensWebApiExample:在ASP.NET Core Web Api项目中使用刷新和jwt令牌的示例项目
05-16
在ASP.NET Web Api核心演示项目中刷新令牌 使用ASP.NET Core构建的Web Api的示例,该API使用刷新令牌使用户保持登录状态。 要了解有关在ASP.NET Core中使用Refresh和JSON Web令牌的更多信息,请阅读此回购是示例项目的。
accessToken refreshToken简单使用源码demo,双token刷新及有效时间设置
热门推荐
a704397849的博客
10-23 1万+
最后会附上源码 这篇介绍了一个项目中使用的双token登录认证刷新的demo,如需移植到生产项目中,需要根据实际情况做修改。 有个地方需要注意: 我这里刷新产生新的refreshToken时 旧的refreshToken并没有失效,如果不是特别敏感这点的话可以不计较,若是在意的话,那需要自己处理:比如用缓存记录失效的token每次token认证判断是否是失效的token ,如果是的话就返回验证失败...
访问令牌(AccessToken)与刷新令牌(RefreshToken
昨夜丶雨疏风骤的博客
05-15 1万+
源码点我 闲着无聊的我又来了,今天介绍一下访问令牌(AccessToken)与刷新令牌(RefreshToken)。 最近公司来了几个Java,然后空气顿时充满了学术的氛围,每天都弥漫着垃圾回收,内存分配,堆栈等等各种技术问题的讨论,竖起了我的小耳朵,我偶然间听到了这个Token过期的问题,今天来说一说。 众所周知,JWT是我们常用的Token类型之一,但是JWT是无状态的,所有的信息,包括超时时间都会编码在JWT中。如果Token设置的超时时间过长会显得有些不安全,如果设置的过短则必须频繁的登录。 在Id
Web开发茶话会_accessTokenrefreshToken
wuxeek的博客
02-10 456
《Web开发茶话会》系列文章的专注于Web开发过程中的重点难点,采取:应用示例+分析+小试牛刀的模式,让读者先有个感性认知,再分析解释知识点,最后抛出一个两个问题,加深理解。此系列文既谈技术,也谈“风月”,请读者备好茶水。
access_token VS refresh_token
RayPick的博客
11-29 6381
众所周知, 在 OAuth 2.0 授权协议中, 有两个令牌 token , 分别是 access_tokenrefresh_token, 为什么已经有了 access_token, 还需要 refresh_token 呢? 我们先看下面两者的介绍 access_token 访问令牌, 它是一个用来访问受保护资源的凭证 refresh_token 刷新令牌, 它是一个用来获取access token的凭证 下面是 OAuth 2.0 中的 token 工作流程图 回归主题, 这两个令牌的主要区别如下
(4)go web开发之 JWT-Token认证机制Access TokenRefresh Tokenjwt-go 库介绍及在项目中使用
pythonstrat的博客
12-12 3366
介绍 jwt-go: 官方介绍:A go (or ‘golang’ for search engine friendliness) implementation of JSON Web Tokens 意思是 go 语言实现的 json web token。 github地址:https://github.com/dgrijalva/jwt-go 可以查看这篇讲解:https://www.bilibili.com/video/BV14p4y1x7kF?from=search&seid=269440
JWT_REFRESH_TOKEN_EXPIRES 怎么使用,给我写一个例子
03-20
JWT_REFRESH_TOKEN_EXPIRES 是一个用于设置 JWT 刷新令牌过期时间的变量,它通常与 JWT_ACCESS_TOKEN_EXPIRES 一起使用。下面是一个使用 Flask-JWT-Extended 扩展的例子: ```python from flask import Flask from flask_jwt_extended import JWTManager, create_access_token, create_refresh_token, jwt_required, jwt_refresh_token_required, get_jwt_identity, get_raw_jwt app = Flask(__name__) app.config['JWT_SECRET_KEY'] = 'super-secret' # 设置 JWT 密钥 app.config['JWT_ACCESS_TOKEN_EXPIRES'] = 3600 # 设置访问令牌过期时间为 1 小时 app.config['JWT_REFRESH_TOKEN_EXPIRES'] = 604800 # 设置刷新令牌过期时间为 1 周 jwt = JWTManager(app) # 用户登录,生成访问令牌和刷新令牌 @app.route('/login', methods=['POST']) def login(): username = request.json.get('username', None) password = request.json.get('password', None) if username != 'admin' or password != 'admin': return jsonify({'msg': 'Invalid username or password'}), 401 access_token = create_access_token(identity=username) refresh_token = create_refresh_token(identity=username) return jsonify({'access_token': access_token, 'refresh_token': refresh_token}), 200 # 使用访问令牌访问受保护的资源 @app.route('/protected', methods=['GET']) @jwt_required def protected(): current_user = get_jwt_identity() return jsonify({'msg': f'Hello, {current_user}!'}), 200 # 使用刷新令牌刷新访问令牌 @app.route('/refresh', methods=['POST']) @jwt_refresh_token_required def refresh(): current_user = get_jwt_identity() access_token = create_access_token(identity=current_user) return jsonify({'access_token': access_token}), 200 if __name__ == '__main__': app.run() ``` 在上面的例子中,我们设置了 JWT_REFRESH_TOKEN_EXPIRES 为 1 周,表示刷新令牌在 1 周后过期。当用户登录成功后,我们生成了一个访问令牌和一个刷新令牌,并将它们返回给客户端。当客户端使用访问令牌访问受保护的资源时,我们使用 @jwt_required 装饰器来保护该路由,只有在客户端提供有效的访问令牌时才能访问。当客户端的访问令牌过期时,客户端可以使用刷新令牌来获取新的访问令牌,我们使用 @jwt_refresh_token_required 装饰器来保护刷新令牌路由,只有在客户端提供有效的刷新令牌时才能刷新访问令牌。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值