模仿某B长期登录有效之双Token机制

最新推荐文章于 2024-04-15 15:38:52 发布
最新推荐文章于 2024-04-15 15:38:52 发布
阅读量956 收藏 6
点赞数 1
分类专栏: springboot 文章标签: java 服务器 安全 json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53690059/article/details/129548583
版权

模仿某B长期登录有效之双Token机制

提示:需要有一定了解token机制的同学进行学习

文章目录

对于某B如何长时间处于登录状态发起思考

大家应该都有用过某B吧,不知道使用某B的同学有没有发现一个问题,别人的网站,登录过后,一段时间不使用就自动退出了,而某B,就算你长时间不使用还是处于登录状态。并且所有的网站也都是你用多久就是多久,不会出现你用到一半就突然退出的情况。那么对于这种情况,本人对此做出了深深的思考,偷偷的查询了资料过后,发现大伙提到了一种名叫双token的东西。
在我简单的demo使用过后呢,发现,确实不错。本文思路有借鉴都绝无抄袭,大部分想法和处理都为自己独立思考而成。不喜勿喷。谢谢。

提示:以下案例可供参考

一、何为双Token?

顾名思义:两个token,在基础idToken之上,添加一个新的refreshToken,
在jwt的官网解释为:Refresh Tokens

二、使用步骤

1.实现思路

思路真的非常非常的重要,get不到双token的那个点,就会想不通这和普通的单token的区别在哪里,本文仅展示自己对于jwt工具双token的处理方式,如有雷同,纯属巧合。
在登录请求后发放双token返回给前端,原因:主要进行认证的token其实还是idToken,只有在短期token过期时,jwt工具对token进行解析失败的情况下,才会进行对refreshToken进行处理,在实际上,refreshToken与idToken在生产时的参数可以是相同的,也可以是不同的,具体逻辑具体分析即可。
双token传输到后端后,会先校验idToken,idToken如果没有过期直接成功登录,不会去刷新token令牌(这里也可以选择刷新,我觉得是没有必要的),
如果idToken过期,那么在解析时就会出现超时异常,捕获异常继续解析refreshToken即可,如若refreshToken也出现超时异常,则拦截器进行拦截,让用户进行重新登录即可。在这里可对token异常单独做出处理。如果refreshToken持续有效的情况下,则操作成功,并让前端请求token刷新接口即可。
这时可能会出现,前一秒refreshToken未过期,但请求刷新接口时过期的可能性,那么此时jwt解析body用户信息时也会出现超时异常,此时接口直接返回相应跳转code或者直接进行页面跳转即可。系统无法再为用户刷新token,只能让用户重新登录。

拦截器处理代码(示例):

以下shortToken代表idToken,longToken代表refrshToken

@Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception {
        if (!(object instanceof HandlerMethod)) {
            return true;
        }
        String shortToken = request.getHeader("authorization");// 从 http 请求头中取出 token
        String longToken = request.getHeader("authorization-long");
        log.info("短期token:{}", shortToken);
        log.info("长期token:{}", longToken);
        // 执行认证
        if (null == shortToken && null == longToken) {
            throw new RuntimeException("无token,请重新登录");
        }
        String phone = null;
        Claims shortTokenClaim = null;
        Claims longTokenClaim = null;
        if (null != shortToken) {
            try {
                // 先验证短期token
                shortTokenClaim = tokenObj.getTokenClaim(shortToken);
                phone = shortTokenClaim.getSubject();
                if (null == phone) {
                    throw new RuntimeException("用户不存在,请重新登录");
                }
                log.info("通过短期token登录成功");
                return true;
            } catch (Exception j) {
                log.debug("短期token过期,继续检测长期token");
            }
        }

        try {
            log.info("检查长期令牌加长期令牌时间");
            longTokenClaim = tokenObj.getTokenClaim(longToken);
            phone = longTokenClaim.getSubject();
            if (null == phone) {
                throw new RuntimeException("用户不存在,请重新登录");
            }
            log.info("通过长期token登录成功,需要刷新token");
        } catch (Exception e) {
            log.error("长期令牌已失效请重新登录");
            return false;
        }
        return true;
    }

工具类(示例):

package com.mrone.util;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Service;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

@Service
public class JwtUtil {

    private String secret= "NjYwQ0Y0N0M3ODhFODYwOUU2RDM1RTNDRkNENjQ1REE=";
    private long expire= 3600;
    private String header="token";
    public String getLongTimeToken (String phone){
        Date nowDate = new Date();
        //过期时间  两天后的这个点
        Date expireDate = new Date(nowDate.getTime() + expire * 1000 * 47);
        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(phone)
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }
    //一分钟后过期
    public String getShortTimeToken (String phone){
        Date nowDate = new Date();
        Date expireDate = new Date(nowDate.getTime() + expire*100 );
        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(phone)
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }
	//刷新Token
    public Map refresh(String auth){
        Map<String,String> map = new HashMap<>();
        try{
            String phone = getTokenClaim(auth).getSubject();
            String shortTimeToken = getShortTimeToken(phone);
            String longTimeToken = getLongTimeToken(phone);
            map.put("short",shortTimeToken);
            map.put("long",longTimeToken);
        }catch (Exception e){
            System.out.println("长期token过期,请重新登录");
            map.put("202","请重新登录");
        }
        return map;
    }

    /*
     * 获取 Token 中注册信息
     */
    public Claims getTokenClaim (String token) {
        try {
            return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
        }catch (Exception e){
            e.printStackTrace();
            return null;
        }
    }

}

刷新接口(示例):

    @ApiOperation(value = "admin",tags = "token刷新")
    @PostMapping("/refresh")
    public Map refresh(HttpServletRequest request){
        String authorization = request.getHeader("authorization-long");
        return jwtUtil.refresh(authorization);
    }

总结

提示:以上内容仅供参考:
如需demo案例请私信我。
小程序地址:https://github.com/CaseOfShe/school
演示地址:https://www.bilibili.com/video/BV1q3411g71P

Xsed
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
token校验机制
marko_zheng的博客
11-15 1万+
token校验机制 什么是token token是客户端登陆的时候由服务端生成,之后每次请求都需要携带token进行请求。校验用户身份呢的作用 为什么使用token 减少敏感信息的传递 可以校验用户身份的准确性以及有效期 单token登录流程以及请求校验流程 注意 token是使用base64的形式进行加密的 是有一部分存储在客户端中,所以,token中不建议存放敏感信息 token校验机制 场景设想: ​ 用户正在app或者应用中操作 token突然过期,此时用户不得不返回登陆界面,重新进行一
微信公众平台开发-如何保证access_token长期有效
05-06
博客教程《微信公众平台开发教程第22篇-如何保证access_token长期有效》的配套代码,教程地址如下: http://blog.csdn.net/lyq8479/article/details/25076223
token实现token超时策略示例
09-04
用于restful的app应用无状态无sesion登录示例,需要的朋友可以参考下
token认证的实现流程
最新发布
命师
04-15 1079
操作机制Token主要包含了AccessToken (访问令牌) 和 RefreshToken (刷新令牌),它的出现就是为了解决单token的不足,所以才会引入token机制也就是 RefreshToken (刷新令牌),因为它可以延长实际的绘画时间,用户提供了一种安全的方式来去更新AccessToken,并且在必要的时候撤销特定用户的权限,而并不会影响有效的绘画内容。没有权限细分管理(单一的access token包含所有的授权信息,不易于对不同范文或者是力度的一个资源进行精细化的访问控制)
永久token
我是一只程序⚪的技术交流平台
07-23 4120
在HTTP检查的时候,出现如下错误: 401的意思代表访问由于凭据无效被拒绝,总结一下就是我们设置的token过期了,那如何设置一个永久有效token呢? 我们的token认证是通过JWT实现的,JSON Web TokenJWT)是目前最流行的跨域身份验证解决方案。 JWT TOKEN组成 一个JWT TOKEN为三个部分组成: JWTJWT头部分是一个描述JWT元数据的JSON对...
山东大学项目实训(二十五)—— 结合请求拦截和响应拦截实现token机制
long99920的博客
05-08 1235
实现token,解决token过期存在的并发请求问题
【Vue3项目】登录注册--Token机制
aDiaoYa_的博客
08-12 1735
最近同项目的伙伴告诉我们一个“新词汇”——Token登录机制,emmmmm,确实没了解过,据说是在实现token长期有效的同时,防止token被第三方盗用,提高用户信息的安全性。于是,在了解了大概之后,我找了很多篇文章去学习Token实现过程,总结如下。一般我们实现用户登录是:用户登录向服务端发送账号密码信息,登录失败返回客户端重新填写并发送用户信息;登录成功服务端生成token并返回token给客户端,客户端将token存本地。那么问题来了,token有效期应该是多久呢?
token方案
奔跑的菜鸡
08-24 401
token方案
vue下axios拦截器token刷新机制的实例代码
10-15
主要介绍了vue下axios拦截器token刷新机制的实例代码,代码简单易懂,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
flask 实现token机制的示例代码
09-18
主要介绍了flask 实现token机制的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot框架集成token实现登录校验功能
08-25
主要为大家详细介绍了SpringBoot框架集成token实现登录校验功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
如何实现token续期——token实现
TaloyerG的博客
10-24 1009
我们知道token的失效时间,是在创建时就规定的时间,如果时间一到,用户即使任然在操作,那么也会强制退出,体验非常不好,本文介绍token续期的常见方式之一token
山东大学项目实训(二)—— 请求封装和TOKEN机制
long99920的博客
04-04 2610
山东大学项目实训
如何让你的程序的access_token一直有效
weixin_55542845的博客
06-25 617
如何让你的程序的access_token一直有效?(高并发场景下)? 解决方案业务逻辑 一、存数据库 建个表access_token id主键、 token、 操作时间 取access_token 查询表的数据是否存在,如果这条数据存在,用当前时间-数据库操作时间>7200秒 如果大于7200秒,就去查询微信服务器获取最新token,更新 MYSQL表的记录数。 如果小于7200秒,直接就使用即可。 二、存文件 AccessToken类–》FileInputStream/FileOutputStrea
基于spring security实现vue2前后端分离的token刷新机制(完整代码详解,含金量拉满!)
qq_60614034的博客
03-27 3467
网上许多博主,放张图片讲讲token原理就发出来,没有含金量,还耽误大伙的时间。但是我不一样,我将会把代码的每一步骤都讲明白,并把详细代码放出来,让每一位看到的人都能跟着一步步自己搞,弄明白每一步的执行流程。要是觉得我跟那些博主一样,也是水文章,互相抄袭,请在评论区直接开骂。如果是第一次接触security请看这篇spring security单token前后端分离详细配置。
JWT令牌(token实现登录验证
weixin_43973161的博客
09-23 5567
就是在登陆操作之后由服务端返回两个token:accessToken和refreshToken,在之后的验证登录态的操作中使用这两个token进行验证,其中accessToken的过期时间相当短,refreshToken的过期时间相对于accessToken而言相当长,且会不断的刷新。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
token机制
qq_41818857的博客
09-25 637
1、token的定义: Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token并返回给客户端,以后客户端向服务器发送请求时,带上Token即可,无需再次带上用户名和密码。 2、为什么要用token? 产生背景: 试想下如果有人知道了你的请求接口,如果他在不登录的情况下,恶意调用你的删除接口,随意删除你的数据,这样是不是会给你造成很大的麻烦,所以每次你调用接口时后台需要验证你是否登录,这就是token产生的背景。 Token是在客户端频繁向服务端请求数据,服
ruoyi-cloud认证-token改造为token
r562253897的专栏
07-28 1098
Token在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。token一般是指access_token和refresh_token。至于为什么改造为token,以及token有哪些好处?...
token 保持登录机制前端拦截实践
皮蛋很白的博客
10-15 2018
token 机制 关于**“ token 机制”**指的是使用户的登录状态在活跃期间保持有效的一种安全机制。 一般需要用户登录的系统为了校验用户的身份或登陆状态,会在用户登录时由服务器生成一个存储了或指向用户信息的 token,返回给客户端存储,这个 token 称为 access_token。 在请求其它接口的时候将 access_token 发送给服务器(通过 Header 或 Cookie)。 服务器根据 access_token 获取到用户信息,作为鉴权的依据。 而为了避免 token 被用户
登录验证之token
07-27
Token是一种用于身份验证的令牌,它在登录验证过程中起到了重要的作用。在登录时,服务器会对用户输入的账号密码进行验证,如果验证通过,服务器会创建一个token并将其发送给客户端。客户端会将token保存起来,并在下次登录时将token传递给服务器进行验证。如果token有效,用户就可以成功登录。\[1\] 基于Token的身份验证是一种无状态的验证方式,不需要在服务器端存储用户信息。这种方式解决了在服务端存储信息时可能出现的问题,同时也使得程序可以根据需要增减机器,而不用担心用户登录状态的问题。\[2\] Token也需要设定有效期,就像登录密码和安全证书一样。有效期的设定可以从安全性和吊销的角度考虑。定期更换Token可以增加系统的安全性,防止泄漏后被滥用。同时,设定有效期也可以解决吊销的问题,确保失效的Token不再被使用。关于有效期的具体长度,可以根据实际需求和安全策略来确定。\[3\] #### 引用[.reference_title] - *1* [token登录](https://blog.csdn.net/lovecoding1/article/details/124773169)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Token登录认证详解](https://blog.csdn.net/tc979907461/article/details/106288099)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值