权限校验中的“双token”方案

最新推荐文章于 2024-04-14 15:11:50 发布
最新推荐文章于 2024-04-14 15:11:50 发布
阅读量1.4k 收藏
点赞数 1
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54931655/article/details/132553982
版权

1. 双Token中的两个token分别是什么?

1.1 access_token

1.2 fresh_token

2. 为什么需要双token?一个token不行吗?

答: 两个token的职责不同。其中,access_token是在每次请求的时候携带给后端进行权限校验,但是这个token的过期时间很短,一般可能就半个小时,一旦用户半个小时都没有进行任何权限操作,这个token将会过期,这个时候再进行请求后端服务的时候,后端就会返回token过期的提示信息(自己团队内部决定),这个时候前端就可以使用类似于拦截器的东西进行拦截这次请求,当获得token过期提示信息时,前端就可以偷偷拿出登录获得的第二个token(refresh_token)去请求刷新token的接口进行token刷新,这个接口返回的就是刷新后的两个token,前端拿到后,就可以进行再次请求获取相关信息。

注:refresh_token的过期时间一般比access_token的过期时间长一倍,甚至更长

3. 为什么不用一个token,后端判断当快到期的时候,进行刷新token操作?

答:因为我们一边要达到用户如果用户在操作,token就不会过期的效果,一边又要达到如果token被不法分子劫持,他们的权限也不会持续太久的情况,就只能设置双token。

在以前,我们设计单token的方案进行token过期刷新,一旦这个token泄露,不法分子就可以无限进行token刷新,从而造成无法挽回的后果。

4. 那如果单token都能被劫持的话,那refresh_token难道就不会被劫持了吗?

答:答案是也会,但是refresh_token只有在token过期的那一刻才会使用,劫持的概率比access_token小太多,就算不法分子使用抓包工具,在很长一段时间也不一定能抓到一个refresh_token的包,所以可以算是一种不错的解决方案。

Kkuil
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
token方案
奔跑的菜鸡
08-24 406
token方案
基于Token实现身份验证和权限管理
泽辉的技术博客
10-20 1万+
一、什么是token HTTP是一种无状态的协议,也就是HTTP没法保存客户端的信息,没办法区分每次请求的不同。 Token是服务器生成的一串字符,作为客户端请求的令牌。当第一次登陆后,服务器会分发Tonken字符串给客户端。后续的请求,客户端只需带上这个Token,服务器即可知道是该用户的访问。 使用Tonken,可以实现:权限管理、身份验证、防止同一账号异地登录。 二、Token...
后端token登陆快速入门:token实现登陆,判断登陆过期
最新发布
Old_Secretary的博客
04-14 2537
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用token来解决。附带token流程和示例代码
前端技术 token的实现流程
qq_65615178的博客
04-25 628
具体的实现细节可以通过调用服务器端提供的API来实现,例如使用jQuery库的Ajax函数来发送表单数据到服务器端,或者使用WebSocket来实现服务器端推送token值到用户手机上。同时,为了保证token认证的安全性,前端需要做好数据加密、输入验证及异常处理等方面的工作。
前端axios实现登入过期token拦截刷新
qq_59517460的博客
06-06 1711
token如果设置过期时间太短,安全性提高了,但用户体验下降了,你也不想在入录表单的时候数据填好了,一保存就给我跳转到登入页面吧,这种情况相当炸裂,之前的操作都要重新来一遍了。不少管理系统都使用了token机制,虽然token有不少优点。但缺点也明显,例如: 如果token我们后台签发了,给盗用了,常规情况下我们没办法让token主动过期,如果要想让token主动过期,我们得配合redis间件。axios二次封封装,导入refresh-token.ts在axios响应拦截器处理刷新token
vue 权限认证token的实现方法
10-18
本文将详细讲解如何在Vue实现权限认证,特别是利用Token进行权限校验的方法。 首先,权限认证的基本思路是:用户登录后,服务器会返回一个Token,这个Token通常是一个唯一的、加密的字符串,用于后续的请求验证...
浅谈Spring Cloud下微服务权限方案
08-27
Spring Cloud 微服务权限方案是基于分布式系统的微服务架构的一种权限管理机制。该方案主要包括用户认证、用户权限和服务校验三个部分。用户认证主要使用 OAuth2 和 JWT 两种机制来实现。OAuth2 是一种授权框架,...
Restful安全认证及权限的解决方案.docx
10-26
6. 校验通过后,服务器根据Token的用户标识进行权限判断,并将用户标识传递给后续的业务逻辑处理。 在用户注销时,服务器需要将未过期的Token保存到Redis,并设置适当的失效时间,以便在后续的请求及时识别出已...
Sa-Token权限认证框架 v1.35.0.zip
10-03
Sa-Token是一个轻量级的Java权限认证框架,专注于权限控制的基本功能,如登录认证、权限校验、会话管理等。其设计目标是简化传统权限认证的复杂度,适用于微服务、单页应用等多种场景。在v1.35.0版本,它可能包含...
Node.js-nodeexpressjwt实现一个用户登录的校验以及权限拦截服务端验证
08-10
在本文,我们将深入探讨如何使用Node.js、Express框架以及JSON Web Tokens (JWT)来实现一个用户登录的校验权限拦截系统。这个系统的主要目标是确保服务端的安全性,进行用户认证与授权。 首先,我们需要了解...
Oauth2授权模式password单一账号并发问题
程序员的蜕变
11-06 1万+
无意发现了一个巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,而且非常风趣幽默,像看小说一样!觉得太牛了,所以分享给大家。点这里以跳转到教程。 使用场景: app程序为提高安全性,使用oauth2进行授权,授权方式采用password方式,IOS和Android在获取token时使用同一个用户名/密码(未加密)。 存在问题: app与本...
spring security oauth2 资源服务/客户端无法正确获取权限
路过君的博客
08-05 8321
异常现象 当资源服务使用token-info-uri校验token时无法获取全部的授权权限,只能获取其一个权限,使用user-info-uri则可以获取全部的授权权限 spring security 版本2.3.8 资源服务配置 security: oauth2: client: client-id: client1 client-secret: client1pwd access-token-uri: 'http://localhost:11000/oau
2022-05-11 Token授权
不爱吃奶昔(zsl0)的博客
05-11 867
Token授权前言Token授权access_token 访问tokenrefresh_token 刷新token参考文章 前言 在求解token窃取问题,发现了Token的使用,这里梳理一下对Token的理解,在后续去实践一个可靠的应用方案。 首先说一下避免token窃取问题,也就是避免间人窃取服务器颁发Token,尽管我们设置的Token过期时间足够短,在该有效时间内间人还是可以凭借Token做一些事情,这里可以使用Https(HTTP+SSL\TLS)协议解决这个问题;HTTPS是由授权
关于同一账号多人同时登录的token重复问题
weixin_33694172的博客
06-18 1万+
最近在项目上遇到了一个同一账号多终端(或者说多用户)同时登录导致的token重复问题。可以在浏览器相应地做一些防止表单重复提交的操作,比如登录按钮点击一次后变成不可点击的状态,等待服务器的响应之后再恢复成点击状态。不过这也并不能解决同一账号多终端登录的问题。 https://github.com/bluesnail9... 项目的伪代码...
token登录验证方案简单总结
云雨之石的博客
04-13 2973
今天做项目登录部分,跟旁边同事交流登录过程封装的一个名为refreshToken的一个API,我有些纳闷,不懂这个refreshToken刷新token有什么用,是要跳转到登录页重新登录获取token吗?如果是这样,那为什么定这样一个名字而不叫做reLogin呢? 经过几分钟的交流,我得到了答案: 原来,我们的系统为了安全方面的考虑,定义了两个token,一个token是验证登录的token,一个token是refresh的token,这两个token,前者的过期时间较短,后者的过期时间较长 当用户登录
JWT令牌(token)实现登录验证
weixin_43973161的博客
09-23 5814
就是在登陆操作之后由服务端返回两个token:accessToken和refreshToken,在之后的验证登录态的操作使用这两个token进行验证,其accessToken的过期时间相当短,refreshToken的过期时间相对于accessToken而言相当长,且会不断的刷新。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
app登录的token设计
LiuLeQ
12-06 1万+
下面我来说一下我自己的思路: 1.登录的时候,登录成功之后,我们需要给他分配一个token。(1)token可以是文件的形式存着;(2)也可以存在数据库,但是存放在数据库,我个人不推荐,因为每次调用api接口都会对比,这样做法会加重服务器压力;(3)用redis存放token。 我个人强烈推荐的用redis,其次就是文件形式。今天我们重点说文件形式(放在下文去讲),不管什么形式,都一样
token的作用及实现原理
热门推荐
我在路上的博客
03-22 27万+
1:首先,先了解一下request和session的区别request 指在一次请求的全过程有效,即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象。在这个过程可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件,以及和当前web组件共享同一用户请求的web组件。如:被请求的jsp...
前端和后端如何使用jwt进行token校验
06-07
JWT(JSON Web Token)是一种广泛使用的跨域认证方案,它可以在前端和后端之间进行安全的token传递和校验。下面是前端和后端如何使用JWT进行token校验的一般步骤: 1. 前端在用户登录成功后,将用户的身份信息(如用户名、用户ID等)和密钥进行加密生成token,并将token存储在本地(如localStorage或cookie)。 2. 前端在发送请求时,将token添加到请求头,例如: ``` Authorization: Bearer <token> ``` 3. 后端在接收到请求时,会从请求头取出token,并使用密钥进行解密获取用户的身份信息。 4. 后端根据解密后得到的用户身份信息,进行相应的权限校验和业务逻辑处理。 需要注意的是,为了确保安全性,密钥应该保密,并且token应该使用HTTPS协议进行传输。另外,为了防止token被伪造,应该使用一些有效期限制和刷新机制。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Kkuil

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值