网络请求时关于cookie或token失效的解决方案

最新推荐文章于 2025-04-18 11:35:19 发布
最新推荐文章于 2025-04-18 11:35:19 发布
阅读量1.1w 收藏 3
点赞数 1
分类专栏: android 文章标签: cookie 网络 解决方案 数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/worst_hacker/article/details/53302883
版权

当一次网络请求(比如说请求购物车的数据,这时是需要验证用户身份的标识的,例如cookie或者token)
想到的三种方法:
1.最开始没用rxjava之前就是用的这种,但是感觉实在累赘。当token失效后重新请求登录接口,当登录成功后通知原先的Activity重新加载数据。这样需要对每个接口都进行token是否失效的判断。

2.使用Intercept(参考这篇文章,但是Okhttpclien3.0删除了ErrorHandler)onErrorResumeNext操作符实现app与服务器间token机制
http://blog.csdn.net/johnny901114/article/details/51533586),在intercept方法中拿到返回的json字符串,然后判断token是否失效,如果失效,那么重新登录,但是这儿需要注意的是因为需要继续往下传递请求,登录接口的请求必须是同步的!(ps:后来朋友想了另一个办法,在intercept中抛出异常,这儿就需要用到第三种方法了)

3.使用retryWhen操作符
(关于retryWhen这篇博客讲的非常好http://www.jianshu.com/p/023a5f60e6d0
最开始我的理解有问题。我的代码是这样的。

ApiClient.getInstance()
    .getUserCourse(cookies, "1", "1")
                .flatMap(new Func1<MyCourse, Observable<MyCourse>>() {
                    @Override
                    public Observable<MyCourse> call(MyCourse myCourse) {
                        if (myCourse.status == 205) {
                            return Observable.error(new Exception("kkkk"));
                        }
                        return Observable.just(myCourse);
                    }
                })
                .retryWhen(new RetryWithDelay(3, 1000))
                .subscribeOn(Schedulers.io())
                .observeOn(AndroidSchedulers.mainThread())
                .subscribe(new Action1<MyCourse>() {
                    @Override
                    public void call(MyCourse response) {
                        fillData(response);
                    }
                }, new Action1<Throwable>() {
                    @Override
                    public void call(Throwable throwable)                    Log.i("===========k",throwable.toString());
                    }
                });

然后我在retryWhen中进行了重新登录获取到了最新的cookie,结果显示没有获取到正确的数据,我猜,难道retryWhen只重试了flatMap?当然不是,我抓包得到的结果是,重新进行了网络请求,但是并没有使用新的cookie,为什么呢,cookies作为一个成员变量,他的值变化了啊!
然后我写了个just的例子测试了下!

str = "aaa";
        Observable.just(str).map(new Func1<String, String>() {
            @Override
            public String call(String s) {
                Log.i("====", "s == " + s);
                if ("aaa".equals(s)) throw new RuntimeException(s);
                return s + "123";
            }
        }).retryWhen(new Func1<Observable<? extends Throwable>, Observable<?>>() {
            @Override
            public Observable<?> call(Observable<? extends Throwable> observable) {
                return observable.zipWith(Observable.range(1, 4), new Func2<Throwable, Integer, Integer>() {
                    @Override
                    public Integer call(Throwable throwable, Integer i) {
                        str = "ggg";
                        return i;
                    }
                }).flatMap(new Func1<Integer, Observable<? extends Long>>() {
                    @Override
                    public Observable<? extends Long> call(Integer retryCount) {
                        return Observable.timer(1, TimeUnit.SECONDS);
                    }
                });
            }
        }).subscribe(new Action1<String>() {
            @Override
            public void call(String s) {
                Log.i("====k", "s = " + s);
            }
        }, new Action1<Throwable>() {
            @Override
            public void call(Throwable throwable) {
                Log.i("====", "throwable = " + throwable.getMessage());
            }
        });

结果是
aaa
aaa
aaa

what?
为啥啊?为什么后面不打印ggg呢?
看这里吧。
关于retryWhen的issue
https://github.com/ReactiveX/RxJava/issues/4840
也就说retryWhen每次重试的都是Source Observable!为了保证使用最新的cookie,使用defer操作符,原理类似于fromCallable.
再来说第二条提到的那个抛出异常的方法。
具体实现就是Intercept和RetryWhen结合,在Intercept中进行token是否失效的判断,如果token失效那么就直接抛出异常,然后在retryWhen中进行重新登录,并给token设置最新的值。这样就避免了同步请求的问题。不过需要注意:

1.因为重新登录是异步请求,所以需要对retryWhen中的重试进行限制,即重新请求原先接口需要延迟(用timer操作符)

2.对重新登录次数进行限制
3.最好自定义抛出的异常,这样方便在Subscriber的onError方法或者retryWhen中进行判断是否是token失效,万一后续还有其他问题需要在Intercept中处理呢。

4.最大的弊端是对所有的接口都进行了token是否失效的判断(因为Intercept会是全局的),所以在Intercept中对token是否失效那儿的判断可以自行处理,比如说用户是否登录?这样的判断。

【JWT】Asp.Net Core中JWT刷新Token解决方案
德仔
11-06 952
1.关于JWT的Token过期问题,到底设置多久过期?(1).有的人设置过期间很长,比如一个月,甚至更长,等到过期了退回登录页面,重新登录重新获取token,期间登录的候也是重新获取token,然后过期间又重置为了1个月。这样一旦token被人截取,就可能被人长期使用,如果你想禁止,只能修改token颁发的密钥,这样就会导致所有token失效,显然不太可取。(2).有的人设置比较短,比如10分钟,在使用过程中,一旦过期也是退回登录页面,这样就可能使用过程中经常退回登录页面,体验很不好。
接口自动化-Cookie、Session、Token鉴定解决方案
MING.Z
04-14 3106
接口自动化-Cookie鉴定解决方案 接口自动化-Cookie鉴定解决方案 接口自动化-Cookie鉴定解决方案 接口自动化-Cookie鉴定解决方案 接口自动化-Cookie鉴定解决方案 接口自动化-Cookie鉴定解决方案 接口自动化-Cookie鉴定解决方案对方 ...
解决cookie跨域,验证码过期失效
weixin_42657666的博客
11-07 1351
1.在开发过程中跨域是常见的 接口跨域浏览器会报错, cookie跨域则不会 我是利用webpack的 proxy 进行代理 代理开启后,浏览器不提示跨域了,验证码登录一直提示验证码过期者已失效 发现后端返回的头文件中 set-cookie 的 domian与请求的地址不一致 所以 cookie 并没有写入 浏览器 解决方案 在 proxy 配置中加 重写domain cookieDomai...
CookieUtil
null_name_xiaoqiang的博客
03-18 271
package com.mmall.util;import lombok.extern.slf4j.Slf4j;import org.apache.commons.lang.StringUtils;import javax.servlet.http.Cookie;import javax.servlet.http.HttpServletRequest;import javax.servlet.ht...
52、⽤⼾token 失效你是怎么处理的
最新发布
qq_45600165的博客
04-18 267
求,在有user信息的逻辑基础上,去if判断这个变量,为true表⽰正在进⾏刷新token请求,另那么。token,然后重新发送失败的请求(使⽤forEach遍历请求存储列表,进⾏⾃调⽤),然后就清空数组,将。答:当⽤⼾登陆的候,接⼝的响应信息中是有三个和token相关的信息的,1.当前使⽤的token,⽤。token,正常情况下接⼝返回的状态码是200,我们会在响应拦截器中,⾛成功的回调把接⼝中data数。过期间字段,2.需要过期间与本地间进⾏判断,如果计算机间被篡改,拦截就会失败的;
关于前端通过js-cookie设置token后跳转页面拿不到token解决方法;
G1ANTS的博客
07-01 2417
关于前端通过js-cookie设置token后跳转页面拿不到token解决方法;
发送请求携带有效的token但却显示未登录,token没有用
jinann0的博客
12-15 2664
经过登录后把token存储到浏览器当中,然后在发送请求候出现添加了token去登录,但是登录的接口却返回了未登录,请登录后在操作,经过查找和请教,发现是发送请求token出错,要在token之前加上Bearer,这样子发送请求就相应成功返回200状态码了。在请求拦截器中加入Bearer之后。
token为空,但jwt并没有报错
weixin_64463374的博客
08-15 2174
在写一个管理系统的token权限的候,遇到一个问题。明明没有进行登录,直接去访问它的后台页面,但是并没有被拦截报错.
一次搞明白 Session、CookieToken,面试问题全搞定.pdf
04-18
Token机制常常与JWT结合使用,以提供安全、高效的身份验证解决方案Token的优点在于它是无状态的,不需要服务器存储用户状态,易于扩展到分布式系统,并且可以减轻服务器的负担。 总结来说,Session、Cookie和...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
关于Session失效问题,前后端分离后,由于Vue与Spring Boot不在同一个域下,浏览器不会在跨域请求中发送Session Cookie。为了解决这个问题,一种常见的方式是采用Token认证机制,如JWT(JSON Web Tokens)。但是,...
Android OkHttp实现全局过期token自动刷新示例
01-20
现在,每当请求返回401(未授权)其他预设的过期状态码,拦截器会自动触发刷新token的过程,然后使用新token重新发送请求。整个过程对用户来说是透明的,提高了应用的用户体验。 值得注意的是,上述示例中的`...
如何解决cookie失效的方法?
热门推荐
jxufewbt的专栏
08-24 1万+
解决cookie失效的方法
token过期机制的问题
qq_46940224的博客
10-15 6597
浅谈一下token过期机制的问题
chrome浏览器设置cookie失效
a_wtf_pgm的博客
09-09 4147
chrome浏览器设置cookie失效 复现步骤 在https协议下登录页面,成功设置cookie。这个候把https协议换成http,再重新登录,发现登录不了cookie没有设置成功。 原因 项目中cookie是通过egg框架的ctx.cookies.set设置的,如果在https协议下,使用该api会对设置的cookie设置一些默认值 上图来自egg官方文档 通过上图可以看出来egg帮我们设置的cookie有一个默认属性secure为ture。 这就导致了在https协议下登录的
token 存储,token失效
lryh_的博客
04-20 2451
token 存储,token失效
通过postajax请求后response header 设置cookie未更新值
希望能找到你的答案
10-12 2494
间在做验证码校验,服务端会存放当前浏览器用户的临验证码信息,比如通过session、cookie等方式进行存放,在校验的候也方便使用和更新等。系统是通过cookie进行存放到浏览器端,cookie的值是经过加密,用户是看不到未加密的数据,当用户第一次进入页面,图形验证码会生成一个code,同往浏览器写入cookie;用户可以多次点击重新生成验证码,相应的cookie值也要进行更新替换,否则校验的候无法通过。
获取cookie返回RequestsCookieJar的解决方法
青少儿编程STEAM
05-15 7556
最近在调用第三方登录接口,需要获取接口的set-cookie 用jmeter可以成功返回set-cookie以及location,在用python却遇到返回的heasers中没有这两个值,于是输出response.cookie返回:<RequestsCookieJar[]> 废话不说,直接上代码如下: import requests class GetToken(): """获取token""" def __init__(self): self.u
Vue中保存token以及删除设置token
m0_49194578的博客
05-13 2686
import Cookies from 'js-cookie' const TokenKey = 'vue_admin_template_token' export function getToken() { return Cookies.get(TokenKey) } export function setToken(token) { return Cookies.set(TokenKey, token) } export function removeToken() { return
Git 使用之鉴权失败
Zhao_knight的博客
11-24 1万+
question 1: 第一次使用Git 包含哪些步骤?以及对应操作是什么? answer 1: 暂先不写 question 2: 为什么在pull会遇到问题如下? fatal: 'https://github.com/owner_name/repo_name.git/' 鉴权失败 analysis 2 :鉴权失败的可能原因之一是访问token过期。通过在setting -> Developer settings -> Personal access tokens 查看确定。如下 选
那么退出登录怎么让这个token失效
02-27
<think>嗯,用户之前问了关于JWT Token续期的问题,现在接着问退出登录如何让Token失效。JWT本身是无状态的,所以传统的基于服务端Session的注销方式不适用。用户可能需要知道几种常见的失效方法。 首先,我需要回忆JWT的特性。因为JWT的有效期通常由其中的过期间(exp)字段控制,服务端不会保存Token的状态,所以单纯的删除客户端Token并不能真正让它失效,除非等到自然过期。但用户可能希望在退出立即让Token失效,这就需要额外的机制。 接下来,可能的解决方案包括:维护一个黑名单、使用短期Token、改变签名密钥、者结合数据库存储状态。其中黑名单是比较常见的做法,但需要考虑存储和性能问题。另外,修改密钥会影响所有已发放的Token,可能不太合适。而短期Token虽然减少了风险,但用户可能需要立即失效的能力。 然后,用户可能的应用场景是什么?如果是高安全要求的系统,可能需要更严格的措施,比如每次注销都记录黑名单,并且每次验证Token检查黑名单。但如果是普通应用,可能使用黑名单加上较短的过期间即可。 还要考虑实现细节,比如使用Redis存储黑名单,设置合理的TTL,避免内存泄漏。同,在Spring Security中如何配置TokenStore,添加黑名单检查的逻辑。例如,在资源服务器的配置中,自定义Token增强器过滤器,在验证Token查询黑名单。 另外,用户可能需要代码示例,比如如何实现黑名单的存储和验证。需要提供具体的Java代码片段,展示如何用Spring Security和Redis来实现。同,要注意处理并发和性能问题,比如使用高效的存储结构,设置自动过期等。 还有,用户可能关心安全性,比如黑名单存储的加密,者如何防止恶意用户频繁注销导致存储膨胀。需要建议设置合理的黑名单过期间,比如稍长于Token的最长有效期,避免长期存储。 最后,需要比较不同方法的优缺点,帮助用户根据实际情况选择。例如,黑名单实现简单但增加存储开销,而短期Token无需存储但可能不够及。用户可能需要根据系统需求和资源情况做出权衡。</think>在JWT无状态特性下实现立即失效,可通过以下方案实现: ### 一、核心实现方案(黑名单机制) ```java // 1. 创建Redis黑名单存储 @Bean public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory factory) { RedisTemplate<String, Object> template = new RedisTemplate<>(); template.setConnectionFactory(factory); template.setKeySerializer(new StringRedisSerializer()); template.setValueSerializer(new GenericJackson2JsonRedisSerializer()); return template; } // 2. 实现黑名单服务 @Service public class TokenBlacklistService { @Autowired private RedisTemplate<String, Object> redisTemplate; public void addToBlacklist(String token, long expiresIn) { // 计算剩余有效间 long ttl = getRemainingValidity(token) > 0 ? getRemainingValidity(token) : 60; redisTemplate.opsForValue().set("blacklist:" + token, true, ttl, TimeUnit.SECONDS); } private long getRemainingValidity(String token) { Claims claims = Jwts.parser().parseClaimsJwt(token).getBody(); return claims.getExpiration().getTime() - System.currentTimeMillis(); } } // 3. 登出接口实现 @PostMapping("/logout") public ResponseEntity<?> logout(@RequestHeader("Authorization") String authHeader) { String token = authHeader.replace("Bearer ", ""); tokenBlacklistService.addToBlacklist(token); return ResponseEntity.ok().build(); } // 4. 配置全局安全验证 @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and() .oauth2ResourceServer() .jwt() .jwtAuthenticationConverter(jwtAuthenticationConverter()) .and() .and() .addFilterBefore(new BlacklistFilter(), BearerTokenFilter.class); } private JwtAuthenticationConverter jwtAuthenticationConverter() { JwtGrantedAuthoritiesConverter converter = new JwtGrantedAuthoritiesConverter(); converter.setAuthorityPrefix(""); JwtAuthenticationConverter jwtConverter = new JwtAuthenticationConverter(); jwtConverter.setJwtGrantedAuthoritiesConverter(converter); return jwtConverter; } } // 5. 黑名单过滤器 public class BlacklistFilter extends OncePerRequestFilter { @Autowired private RedisTemplate<String, Object> redisTemplate; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = extractToken(request); if (token != null && redisTemplate.hasKey("blacklist:" + token)) { response.sendError(HttpStatus.UNAUTHORIZED.value(), "Token revoked"); return; } filterChain.doFilter(request, response); } private String extractToken(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` ### 二、增强型方案对比 | 方案 | 实现复杂度 | 性能影响 | 失效性 | 存储开销 | |--------------------|------------|----------|------------|----------| | 黑名单机制 | ★★☆ | 低 | 实 | 中 | | 短期Token(5分钟) | ★☆☆ | 无 | 延迟 | 无 | | 密钥轮换 | ★★★ | 高 | 实 | 无 | | 数据库状态位 | ★★☆ | 中 | 实 | 高 | 推荐组合方案:**黑名单 + 短有效期(30分钟) + 自动续期** ### 三、安全增强配置 1. Redis安全配置 ```yaml spring: redis: ssl: true password: ${REDIS_PASSWORD} timeout: 5000 lettuce: pool: max-active: 50 max-idle: 10 ``` 2. JWT签名强化 ```java @Bean public JwtDecoder jwtDecoder() { return NimbusJwtDecoder.withSecretKey( new SecretKeySpec(Base64.getDecoder().decode(secret), "HmacSHA512") ).build(); } ``` 3. 防御性代码示例(防重复登出) ```java public void addToBlacklist(String token, long expiresIn) { if (redisTemplate.opsForValue().setIfAbsent("blacklist:" + token, true, expiresIn, TimeUnit.SECONDS)) { log.info("Token blacklisted: {}", token); } else { log.warn("Duplicate logout attempt for token: {}", token); } } ``` ### 四、运维监控建议 1. Prometheus监控指标配置 ```java @Bean public MeterRegistryCustomizer<MeterRegistry> metrics() { return registry -> { registry.gauge("jwt.blacklist.size", redisTemplate.keys("blacklist:*").size()); }; } ``` 2. 黑名单自动清理策略 ```java @Scheduled(fixedRate = 3600000) // 每小清理 public void cleanExpiredEntries() { Set<String> keys = redisTemplate.keys("blacklist:*"); keys.forEach(key -> { if (redisTemplate.getExpire(key) <= 0) { redisTemplate.delete(key); } }); } ``` ### 五、前端配合方案 ```javascript // 前端登出逻辑增强 function logout() { // 1. 清除本地存储 localStorage.removeItem('access_token'); localStorage.removeItem('refresh_token'); // 2. 调用后端登出接口 fetch('/api/logout', { method: 'POST', headers: { 'Authorization': `Bearer ${getAccessToken()}` } }); // 3. 强制页面刷新(清除内存中的残留) window.location.reload(true); } // 4. 添加心跳检测(每5分钟检查登录状态) setInterval(() => { fetch('/api/check-token', { headers: { 'Authorization': `Bearer ${getAccessToken()}` } }).catch(() => { localStorage.clear(); window.location.href = '/login'; }); }, 300000); ``` 建议采用Redis黑名单方案配合以下最佳实践: 1. 设置JWT有效期不超过1小 2. 每次请求携带请求ID并校验唯一性 3. 重要操作要求二次认证 4. 监控黑名单增长率(异常登出预警) 5. 使用HTTP Only + Secure的Cookie存储Refresh Token 这种方案在保证安全性的同,兼顾系统性能,适合中大型分布式系统。对于更高安全要求的场景,可结合设备指纹识别IP绑定技术增强校验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值