项目中2个Token的原因

最新推荐文章于 2024-04-14 15:11:50 发布
最新推荐文章于 2024-04-14 15:11:50 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: web项目开发 文章标签: vue ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46873254/article/details/119478490
版权


在这里插入图片描述

问题:
项目中2个Token, 一个时效2个小时(简称:短Token), 另一个时效14天(简称:长Token),
为什么要用2个Token?

解答:

  1. 基于安全性, 防止Token泄露的考虑, 服务器资源中所有的请求都只能使用短Token, 并且短Token只有2小时时效;
    1. 这个方法依然无法完全解决防止Token泄露的问题, 只是在一定程度上提高防止Token泄露的安全性;
    2. 长Token的作用只有一个, 就是短Token时效了的时候, 用长Token去请求获取新的短Token,
      只有这个接口中, 才能用长Token发请求.
  2. 为了提高用户的体验, 不至于直接让用户退出正在操作的页面

import Vue from 'vue'
import axios from 'axios'
import VueAxios from 'vue-axios'
import { getToken, setToken } from './token'
import router from '../router/index.js'
import { Toast } from 'vant'

Vue.use(VueAxios, axios)

const instance = axios.create({
  baseURL: '基地址',
  timeout: 100000
})

// 添加请求拦截器
instance.interceptors.request.use(
  function (config) {
    // 统一添加token
    getToken() && (config.headers['Authorization']= `Bearer ${getToken().token}`)
    return config
  },
  function (error) {
    return Promise.reject(error)
  }
)

// 添加响应拦截器
/**
 * 1.if 401 else 不管
 * 2.if 有token else 跳转登录页
 * 3.try-catch 用 refresh_token 去获取 token, if 成功 else refresh_token失效了,跳转登录页
 * 4.保存获取的 token, 更新, 继续执行用户要的操作
 */
instance.interceptors.response.use(
  function (response) {
    return response
  },
  async function (error) {
    if (401 === error.response.status) {
      setTimeout('console.clear()', 2000)
      if (getToken()) {
        try {
          // 登录了, 但是短T过期, 用长T获取短T(刷新用户token)
          let res = await axios({
            url: '基地址/v1_0/authorizations',
            method: 'PUT',
            headers:{Authorization : `Bearer ${getToken().refresh_token}`}
          })
          // 更新短T
          let token = getToken()
          token.token = res.data.data.token
          setToken(token)
          // 继续用户操作
          return instance(error.config)
        } catch (error) {
          // 长T失效,跳转登录页
          Toast.fail('请先登录')
          router.push({ path: '/login' })
        }
      } else {
        // 未登录,跳转登录页
        Toast.fail('请先登录')
        router.push({ path: '/login' })
      }
    }

    return Promise.reject(error)
  }
)

export default instance
SpringSir
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
山东大学项目实训(二)—— 请求封装和双TOKEN机制
long99920的博客
04-04 2622
山东大学项目实训
关于微信获取用户信息,需要用到两个token
迪奥乔斯达的博客
05-07 274
微信开发的官方文档实在是坑的雅痞,我是在查阅了许多博客之后才弄清楚,获取用户信息的token不是和openid通知书返回的按个,在这里整理一下 官方文档:https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1421140842 首先第一步:用户同意授权,获取code 这一步不多赘述,主要讲后面的两个token问题. 请求格式为 ht...
后端双token登陆快速入门:双token实现登陆,判断登陆过期
最新发布
Old_Secretary的博客
04-14 2326
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用双token来解决。附带双token流程和示例代码
2022-05-11 双Token授权
不爱吃奶昔(zsl0)的博客
05-11 861
Token授权前言双Token授权access_token 访问tokenrefresh_token 刷新token参考文章 前言 在求解token窃取问题,发现了双Token的使用,这里梳理一下对双Token的理解,在后续去实践一个可靠的应用方案。 首先说一下避免token窃取问题,也就是避免间人窃取服务器颁发Token,尽管我们设置的Token过期时间足够短,在该有效时间内间人还是可以凭借Token做一些事情,这里可以使用Https(HTTP+SSL\TLS)协议解决这个问题;HTTPS是由授权
Token的处理
weixin_70604812的博客
02-28 540
前言:当我们在完成登录以后,会对token进行存储,一般存储在本地以及vuex,但是token是有时效性的,到达一定时效,就会失效,因此衍生出双token(下文一个叫token,另一个叫refresh_token),refresh_token的时效性设置应比token长,这样当token失效时,refresh_token可以发起一次请求,重新获取一次token,从而保证用户的体验舒适度,没必要正在疯狂输出,啪一下,快乐没了~~~~
项目梳理——双Token
Hathwayoung的博客
04-24 1570
Tokentoken+refreshToken。 假设设置一个有效时间validtime为2h,如果使用单token的话,则就是进行操作前面这篇提到的方式。 不同的是,当使用双token的时候,不需要像单token那样每次操作都对有效时间进行刷新,而是在这2h内,这个token可以一直使用,一直有效,访问不同的信息,不需要刷新。 而在2h后,refreshToken在它的有效期内自动刷新tok...
解决控制台cookie没有携带token的问题
01-20
postMan都请求成功了,还携带了token, 这是咋回事呢,我就想可能有两种原因: 1.nginx问题 2.网关zuul的问题 于是我就调试一下看看在设置cookie时候发生了什么, 发现在setDomainName时候ip地址由192.168.6.129...
token-springMVC 防止重复提交
08-01
在Spring MVC框架,防止重复提交是一个重要的议题,特别是在处理敏感数据或执行不可逆操作时。重复提交可能会导致数据不一致性和系统混乱。"Token-SpringMVC"是一种常见的解决方案,它利用令牌(Token)机制来确保...
stc-token-migration:将STCV1迁移到STCV2
04-16
2. **迁移函数**:新合约会包含一个迁移函数,这个函数负责接收旧代币,销毁它们,并在新合约发行等值的新代币。 3. **用户参与**:用户需要通过他们的钱包(如 MetaMask)连接到迁移应用,授权迁移函数从他们...
jsp项目放置表单重复提交
03-02
- 令牌(Token)机制:在用户提交表单前,服务器生成一个唯一的令牌并存储在服务器端,同时将其放入表单隐藏字段。当表单提交时,服务器会检查令牌的有效性,只处理一次有效的令牌,之后的重复提交因令牌无效而被...
jwt_client_roles:示例测试项目显示了https描述的问题
05-21
在IT行业,JWT(JSON Web Token)是一种广泛用于身份验证和授权的安全标准。在这个名为"jwt_client_roles"的示例测试项目,我们探讨的是如何在HTTPS环境下处理JWT的客户端角色与用户角色的问题。该问题涉及到...
token校验机制
marko_zheng的博客
11-15 1万+
token校验机制 什么是token token是客户端登陆的时候由服务端生成,之后每次请求都需要携带token进行请求。校验用户身份呢的作用 为什么使用token 减少敏感信息的传递 可以校验用户身份的准确性以及有效期 单token登录流程以及请求校验流程 注意 token是使用base64的形式进行加密的 是有一部分存储在客户端,所以,token不建议存放敏感信息 双token校验机制 场景设想: ​ 用户正在app或者应用操作 token突然过期,此时用户不得不返回登陆界面,重新进行一
登录生成双token的理解
m0_64479814的博客
04-21 4819
token机制是为了提高系统安全性而采用的一种措施。它指的是在登录成功后,会生成两个token返回给客户端::用于访问受限资源,有一定的生命周期,过期需要重新获取。:用于刷新Access Token,生命周期较长。
用户登录设计之双token设计
CRMEB小程序商城的博客
12-02 5186
背景 笔者在做的一个项目之前的登录接口是实习生写的,登录设计就是简单的提交用户名密码获取token,然后token的过期时间巨长是30天,于是乎另一位工作年限长一点的同事修改了代码,变成了登录获取两个token: 1.accessToken: 真正用来获取数据的权限 2.refreshToken: 用来获取accessToken 为什么需要token? 总所周知,token是为了防止用户信息传来传去导致被劫持,但是假如token没有过期时间或者过期很长,那么显然token被劫持还是不安全的,token
Spring Security使用token
热门推荐
超频化石鱼的博客
09-12 1万+
单点登录与多点登录 单点登录:同一个账号在同一时间只有一个token有效。一旦生成新的token,所有旧token失效。 多点登录:同一个账号在同一时间可多次登录,每次登陆都会获得一个token。这些token的有效期是隔离的,不受新生成token的影响。 对于token,若要实现单点登录,则必须将所有token保存在服务端。这实际上与token服务端不负责保存的本质相悖。若要实现单点登录,建议使用session。 下面将实现多点登录。 原理与思路 Spring Security的认证与授权是分开的:
如何实现双Token无感刷新
weixin_55862073的博客
04-27 1345
为了解决这个问题,采取双Token(Access_Token,Refresh_Token)无感刷新,用户完全体会不到Token的变化,但实际上,Token已经刷新了。3.Access_Token过期后,前端携带Refresh_Token调用A接口得到新的Access_Token,把新的Access_Token替换旧的Access_Token存储起来。Refresh_Token:用于刷新Access_Token,即调用A接口需要携带Refresh_Token, 用它换得最新的Access_Token
微信小程序存储token在本地缓存不一致的情况
lmy1329160579的博客
06-03 1585
今天遇到个问题,客户反馈问题后,我们开发实在无法复现,开发手机都是流程没问题的。场景如下: 我们服务端采用了token,用户登录成功后就会下发一个token,假如原token没过期,我们则会刷新token,即覆盖操作。从日志上看,用户的操作流程如下: 用户登录后,拿到A token,然后开始用这个token进行调用接口,一切正常。 而后,用户又进行了一次小程序登录,我们下发了新token,B Token给到前端,用户拿B token也请求了一段时间,然后用户录制一个视频过来,显示点击每一个接口都是报错的,用
为什么要双token
cs_knight的博客
01-19 907
我设计的双token的流程即在用户登录时返回两个token,称为access_token和refresh_token,访问接口时,携带access_token,当access_token过期后,让前端携带refresh_token请求刷新token的接口获取新的两个token。双token的缺点也是有的,access_token在得到刷新的结果前会有一段时间处于不可用的状态,为避免这种情况,前端可以主动判断token过期时间(由后台在返回token时返回),如果时间临近了,就主动去发送刷新请求。
JWT之token机制与双token详解
qq_41634455的博客
01-13 1万+
token机制 何为tokentoken即为令牌,是服务器生成的一串字符串,作为客户端向服务器进行请求的“通行证”。在客户端进行初次登陆后由服务器返回,之后的每次请求只需要携带token进行请求即可,而无需携带密码等敏感信息 为何token token可以减少敏感信息在网络间的传递 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用 JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息 便于传输,jwt的构成非常简单
spring boot 项目"msg": "invalid token", "code": 401 是什么原因
03-03
在Spring Boot项目,"msg": "invalid token", "code":401 表示无效的令牌错误,HTTP状态码为401表示未经授权。这通常是由于以下原因之一导致的: 1. 令牌过期:令牌具有一定的有效期,如果请求的令牌已过期,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值