无感刷新taken

最新推荐文章于 2024-10-26 12:50:45 发布
最新推荐文章于 2024-10-26 12:50:45 发布
阅读量869 收藏 22
点赞数 33
分类专栏: Springboot 文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68226434/article/details/142616659
版权

目录

概要

        在Spring Boot应用中实现无感刷新Token,通常采用基于Refresh Token的双Token机制。这种方法涉及到两个Token:Access Token和Refresh Token。Access Token用于用户的身份验证,具有较短的有效期;而Refresh Token则用于在Access Token过期后获取新的Access Token,具有较长的有效期。

整体架构流程

为了实现用户在Token过期时能够无感知地刷新Token,避免用户重新登录,可以采用以下策略:

  1. 双Token机制

    • Access Token:有效期较短,用于日常的请求验证。
    • Refresh Token:有效期较长,用于在Access Token过期后请求新的Access Token。

  2. 客户端刷新逻辑

    • 客户端存储Access Token和Refresh Token。
    • 每次发起请求时,客户端携带Access Token。
    • 如果服务器响应表示Token过期(例如状态码为401),客户端则使用Refresh Token请求新的Access Token和新的Refresh Token。

  3. 服务器端刷新接口

    • 提供一个刷新Token的接口,用于接收Refresh Token并验证其有效性。
    • 一旦验证通过,服务器生成新的Access Token和Refresh Token,并返回给客户端。

  4. 自动刷新Token

    • 在客户端实现一个拦截器,自动处理Token过期的情况。
    • 当捕获到Token过期的响应时,拦截器会自动使用Refresh Token请求新的Token,并重试原请求。

  5. 刷新Token的安全性

    • 确保Refresh Token具有足够的安全性,例如通过HTTPS传输,设置适当的过期时间,以及在用户登出时使Refresh Token立即失效。

  6. 前端处理

    • 使用前端框架(如Angular、React或Vue.js)的拦截器功能,监听HTTP请求和响应。
    • 在拦截器中检查响应状态码,如果是401,则暂停原请求,使用Refresh Token获取新的Access Token。
    • 使用新的Access Token更新原请求的头部,并重新发送原请求。

  7. 后端处理

    • 在Spring Security的过滤器中检查每个请求的Token。
    • 如果Access Token过期,返回一个特定的状态码(如401)和消息,指示客户端使用Refresh Token刷新Token。
    • 在后端设置一个Refresh Token的验证和刷新逻辑,生成新的Token并返回。

  8. 优化用户体验

    • 确保刷新Token的过程对用户是透明的,不需要用户手动重新登录。
    • 在刷新Token时,可以考虑在用户界面上显示一个加载指示器,告知用户正在处理中。

技术名词解释

Access Token

  • 定义:AccessToken是一种加密的字符串,用于在计算机系统中确认用户的身份和权限。
  • 作用
    1. 身份验证:用户通过用户名和密码或其他认证方式成功登录后,服务器会生成一个AccessToken并返回给客户端。这个令牌包含了用户的身份信息和授权信息,用于证明用户已经通过了身份验证。
    2. 授权访问:AccessToken通常与特定的资源或操作相关联。服务器会根据AccessToken中的授权信息来判断用户是否有权访问某个资源或执行某个操作。只有拥有正确且有效的AccessToken的用户才能被授权访问相应的资源或执行相应的操作。

Refresh Token

  • 定义:Refresh Token是一个由授权服务器颁发的加密令牌,用于在Access Token过期时,向授权服务器请求一个新的Access Token,而无需用户再次进行身份验证(如重新输入用户名和密码)。
  • 作用
    1. 延长用户会话:通过自动刷新Access Token,Refresh Token能够延长用户的会话时间,提高用户体验。
    2. 减少身份验证频率:对于需要频繁访问受保护资源的应用,使用Refresh Token可以减少用户重新进行身份验证的次数。
    3. 增强安全性:由于Refresh Token通常具有较长的有效期,并且通常不直接用于访问资源(而是用于获取Access Token),因此它们可以在一定程度上减少因令牌泄露而导致的安全风险。

技术细节

让我们通过一个例子来说明Access Token的整个生命周期和使用场景:

用户登录

  1. 用户在客户端(比如一个手机应用或者网页)输入用户名和密码。
  2. 客户端将这些登录凭证发送到服务器端的登录接口。
  3. 服务器验证用户的凭证,如果验证成功:
    • 服务器生成一个Access Token(例如,使用JWT)。
    • 服务器将Access Token返回给客户端。

使用Access Token

  1. 客户端收到Access Token后,将其存储在安全的地方(例如,Web应用中的LocalStorage,或者移动应用的Keychain)。
  2. 客户端在随后对服务器的每个请求中,都会在HTTP请求的头部(Header)中包含这个Access Token,通常是在Authorization字段中,格式可能是Authorization: Bearer <token>

Refresh Token的使用流程:

用户登录

  1. 用户在客户端(例如一个手机应用或网页)输入用户名和密码。
  2. 客户端将这些登录凭证发送到服务器端的登录接口。
  3. 服务器验证用户的凭证,如果验证成功:
    • 服务器生成一个Access Token和一个Refresh Token。
    • 服务器将这两个Tokens返回给客户端。

客户端存储Tokens

  1. 客户端安全地存储这两个Tokens,通常是:
    • Access Token存储在内存中或HTTP请求头中。
    • Refresh Token存储在更安全的地方,如移动端的Keychain或Web应用的LocalStorage。

小结

        在Spring Boot应用中实现无感更新Token,主要是为了在用户访问应用时,能够在Token过期后自动刷新,而不需要用户手动重新登录。

你我哈
关注
专栏目录
Spring Security 6.x 系列(15)—— 会话管理之源码分析
gmHappy
01-04 2776
在上篇 Spring Security 6.x 系列(13)—— 会话管理之会话概念及常用配置 Spring Security 6.x 系列(14)—— 会话管理之会话固定攻击防护及Session共享 中了清晰了协议和会话的概念、对 Spring Security 中的常用会话配置进行了说明,并了解会话固定攻击防护和 Session 共享,今天我们着重对会话流程和部分源码进行分析
从0到1实现文章个性化推荐系统
starlywang的博客
02-03 1067
从0到1实现文章个性化推荐系统一、背景二、主要业务流程及核心模块1. 同步业务数据:2. 收集用户行为日志(1) 原始数据收集(2) ETL3. 构建离线文章画像(1) 构建方法(2) 文章画像存储结构(3) 实现步骤4. 构建离线用户画像(1) 构建方法5. 构建离线文章特征6. 构建离线用户特征7. 多路召回8. 排序(1) CTR预估-业界主流排序模型(2) 通过LR模型进行CT...
refresh rates - 刷新
既然选择了远方 便只顾风雨兼程 - 永强
01-30 5188
refresh rates - 刷新刷新率是电子束对屏幕上的图像重复扫描的次数,或屏幕上画面每秒被刷新的次数。刷新率越高,显示的图像 (画面) 稳定性越好。 A refresh rate is dependent upon a monitor’s horizontal scanning frequency and the number of horizontal lines displayed. The horizontal scanning frequency is the number of tim
全日制英国硕士词汇篇V1.3(持续更新)
热门推荐
欢迎!欢迎来到17号城市!
03-05 6万+
下面的所有词汇与例句都是在英国留学期间, 学到的、听到的、见到的,都来自英语母语使用者,其中包括: 学校、同学、教授、教职人员、以及生活中形形色色的人, 这篇文章有助于还没去英国的同学提前掌握一些高频词汇, 以便于在日后的留学生活中更加游刃有余, 对于高频词汇一定要掌握它们的听说读写,形成肌肉记忆。
React TypeScript Node 全栈开发(三)
龙哥盟
07-22 610
原文:zh.annas-archive.org/md5/F7C7A095AD12AA62E0C9F5A1E1F6F281 译者:飞龙 协议:CC BY-NC-SA 4.0 第七章:学习 Redux 和 React Router 在本章中,我们将学习 Redux 和 React Router。Redux 仍然是管理 React 应用程序中共享的全局状态的最常见方法。使用 Redux 全局状态,我们可以减少大量样板代码并简化应用程序。React Router 也是管理客户端 URL 路由的最流行框架。客户端
Spark2 初学者手册(四)
龙哥盟
07-23 246
原文:zh.annas-archive.org/md5/4803F9F0B1A27EADC7FE0DFBB64A3594 译者:飞龙 协议:CC BY-NC-SA 4.0 第九章:设计 Spark 应用程序 从功能性角度思考。设想一种应用功能,它被设计成一个管道,每个部分通过管道连接,共同完成手头工作的某一部分。这一切都关乎数据处理,而 Spark 正是以高度灵活的方式进行数据处理的。数据处理始于进入处理管道的种子数据。种子数据可以是系统摄取的新数据片段,也可以是企业数据存储中的某种主数据集,需要对其进
谷歌三大核心技术
Together_CZ的博客
03-27 1万+
转自:http://blog.csdn.net/hguisu/article/details/7244798 转自:http://blog.csdn.net/hguisu/article/details/7244981 转自:http://blog.csdn.net/hguisu/article/details/7244991 本文转载了Google的三大核心技术,作为学习的记录需要的时候及
Java Web 高性能开发,第 2 部分: 前端的高性能
jerome
04-23 1402
Web 发展的速度让许多人叹为观止,层出不穷的组件、技术,只需要合理的组合、恰当的设置,就可以让 Web 程序性能不断飞跃。Web 的思想是通用的,它们也可以运用到 Java Web。这一系列的文章,将从各个角度,包括前端高性能、反向代理、数据库高性能、负载均衡等等,以 Java Web 为背景进行讲述,同时用实际的工具、实际的数据来对比被优化前后的 Java Web 程序。第一部分已经讲解了部分
(7)uboot详解——初始化SDRAM
奔跑的路
01-03 1万+
(7)uboot详解——初始化SDRAM 在开始这篇文章之前,我们先回顾一下(1)uboot详解——板子刚上电时都干了些什么,不管板子是从nandflash启动还是从norflash启动,它的开始代码都不是在SDRAM中运行的,要么在stepping stone中运行,要么在norflash中运行,但是stepping stone的4k片上内存显然是不够的,而且norflash可读不可写的特
讲一点点自动驾驶技术(1)概论
Johanns Q.的博客
10-01 5980
一点点无人驾驶技术的概论 作为一个自动驾驶小菜鸟工程师,入门才两三年时间,利用这个博客平台,把自己对于无人驾驶技术所学的东西在这进行一个整理,一来自己看着方便,二来供大家交流学(xiao)习。 ps:如果大家觉得我里面有什么错误或者更新的话,欢迎来一起交流交流。 我想这一个一系列的文章,从简介开始,到定位系统,到感知,然后路径规划,以及决策,规划和控制,醉后说一说深度学习和平台。enmmmmm,先想到这些,之后想到的再加上去吧。 OK了, 今天开门见山第一章,概论。 第一章 无人驾驶技术概述 文章目录一点
JSON:它是什么,它的工作原理以及如何使用它
churanlu1875的博客
06-14 822
json对象最后不要,逗号 字符衔接中间加,或者+ 本周我想介绍一个我认为已经成为任何开发人员工具包的重要组成部分的主题:通过AJAX从其他站点加载和处理JSON源的能力。许多网站除了现在的RSS Feed之外还使用JSON共享数据,并且有很好的理由:可以比XML / RSS更容易地异步...
基于Java的连连看游戏设计与实现(含源文件)
【完整】
03-08 7187
欢迎添加微信互相交流学习哦! 项目源码:https://gitee.com/oklongmm/biye 毕业设计(论文)任务书 第1页 毕业设计(论文)题目: 基于Java的连连看游戏设计与实现 毕业设计(论文)要求及原始数据(资料): 1.简述Java游戏开发现状和走向; 2.了解图形用户界面的概念; 3.熟练掌握Java的事件处理机制; 4.掌握Java小程序的工作原理和使用方法; 5.了解AWT的基本体系结构,掌握窗口的基本原理; 6. 掌握几种布局管理器的使用方法; 7. 了解Sw...
apigee 安装_使用Google Cloud Apigee有效地管理您的API
weixin_26752759的博客
09-13 1035
apigee 安装Developing APIs is a tough job overall, and securing these APIs is a whole other ball game in itself. Google Cloud Apigee offers an excellent API Management Console that can help you develop ...
Spring Boot驱动的厨艺社交平台设计与实现
最新发布
2401_85812026的博客
10-26 1217
另外我从百度上下载了很多的有关信息增加,信息删除等操作的源代码,并通过不断调试以及完成配套的数据库的设计,开始完成程序的各个部分的功能。这种体验也还加深了我对知识的尊重。
Spring Boot 整合 RocketMQ 之消息消费手动提交 ACK 实战【案例分享】
weixin_42118323的博客
10-22 1896
上一篇我们分享了 RocketMQ 消息重试的一些基本原理,本篇我们基于 Spring Boot 整合 RocketMQ 来分享一下 RocketMQ 消息基于手动提交的案例,在分享手动进行消息 ACK 中也会分享消息重试的使用。
植物健康,Spring Boot来守护
2401_85439108的博客
10-24 733
目前,界面设计已经成为对软件质量进行评价的一条关键指标,一个好的用户界面可以使用户使用系统的信心和兴趣增加,从而使工作效率提高,JSP技术是将JAVA语言作为脚本语言的,JSP网页给整个服务器端的JAVA库单元提供了一个接口用来服务HTTP的应用程序。B/S架构给使用管理系统的用户带来极大的便利。6、网络上的客户端和服务器可以用来编程任何独立的编程环境,也有中国,GB2312,BIG5,日文写作,一般基金,用于支持多国语言,并且可以嵌入在数据表和其他软件shift_jis访问柱可以用作的名称。
如何自定义一个自己的 Spring Boot Starter 组件(从入门到实践)
龚小帅的博客
10-22 1530
Spring Boot Starter 是一组 Maven 依赖的集合,旨在简化 Spring Boot 应用的配置。每个 Starter 通常包括所需的库、自动配置类、属性文件等,使得开发者只需简单地添加一个 Starter,就可以快速启动所需的功能。例如,包含了构建 Web 应用所需的所有依赖,包括 Spring MVC、Jackson 等。复用性:将常用的功能封装为 Starter,方便在多个项目中复用。简化配置:将复杂的配置和依赖管理集中处理,减少每个项目中的重复配置。团队协作。
Spring Boot集成PageHelper分页插件详解---补充
missgrass的博客
10-24 395
那实际上PageHelper就是先解析原本的sql语句,然后根据你提供的pageNum和pageSize去拼接sql语句串,所以如果你的sql语句写了。上面的两篇文章还有下面这一篇文章都提到了一个注意事项,实际上也是PageHelper的使用原理。就是你不能在你的sql语句后面写上分号。原本看了这两篇文章,觉得写的其实挺好的。但是发现两篇文章里面,对于方法的使用,都是最普通的。然后我就发现其实跟我实际项目中的使用是不一样的,我的使用。,这也是官方支持的一种方式。方法的时候,可以不用传入。
Spring Boot植物健康系统:绿色科技的突破
2401_85761003的博客
10-24 850
在整个系统测试中,根据需求文档和设计文档,逐一对功能进行检测并写好测试用例,有效避免残片缺陷,因为产品出现缺陷不仅影响功能,而且可以导致数据的不准确,导致产品质量的降低,经过测试,才能使得产品的稳定性和成熟度得到极大的提升,产品质量也才有保证。本系统具有易操作、易管理、交互性好的特点,在操作上是非常简单的,因此在操作上具有很高的可行性。(2)该完整内容全面,管理方便可以及时的全面的处理各种错误,异常,这样避免了很多因用户的马虎操作而出现的失误,其操作方便,用户界面友好,能够上网的人都可以很好的进行操作。
matlab takens
08-24
- *1* [matlab求矩阵的行列式的代码-Takens_protein:在蛋白质上应用延迟嵌入的文档](https://download.csdn.net/download/weixin_38650629/19143776)[target="_blank" data-report-click={"spm":"1018.2226.3001....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你我哈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值