reflush token
拦截器之后,判断tockken 是不是有效的,tocken设计到rflaush tocken ,什么换取我们的tockne ,,
怎么去配置我们的reflush demo,reflush tockne,制定他的有效期,tocken 是短活的,很长时间的,首先我们会
拿一个tocken,arefulsh tocken ,,token过期了,reflsuh taocke 不会过期的,reflush tocken,
调用reflush token 一定要调用的,那么长的时间,reflache token 丢了,很安全,token 丢了,因为reflush 丢了也用不了,
要用这个去刷,如果tocken 失效了,逻辑处理去刷新reflush tocken,再扔到我们的sesssion 中,reflsuh 中确定,双倍,
reflush 失效了,服务端,看认证端,服务端失效了,服务端密码的失效了,不同的解决方案,第一种决定客户端失败,判断认证中心
seison 是否失效,来判断。
1.session 模式
tockne 失效了,第一种选择,重新输入密码 退出为什么不去失效服务带你session 退出我恩德这就话打开I 调用服务器的接口,强制服务器失效,
认证服务器的session 会到应用界面过来,怎么会处理回退的逻辑,loginout success handlder,写一个logahnder,
hander ,回到原来的页面,重新启动,清理session ,返回ajax的状态吗,认证中心去登录的,admin,推出了回到了自己的主页上来。
2.基于Cookies
cookies 打开,通过写cookies 的方式,现在看逻辑,请求拦截中写2个tockn ,整整用于来年各个
一个是tockne,一个是刷新的tocken,进来之后,第一次登录没有登录之后,不为空的话,直接把请求头放行,一个ttken 失效,
一,reflsh 为失效,没失效,刷新令牌的逻辑之后,重新走认证的流程,同样的写cookies,
以前的代码,现在写cookies,访问令牌,一个是刷新令牌,后面的是一样,工程跑起来,认证中心,port 重新跑一下,tocknes 肯定是根据 过期时间来刷的,去模拟失效了,会刷新的逻辑,刷新令牌的请求之后,重新启动一下,失效默认是现在
就到了刷新令牌,重新写进去,把potrat 给重启,删除之后去删了之后没删除之后,resulush 之后,断点,
reflsuh生成
两者之间的区别: 基于session的好处是:安全,各种复杂的有效性,浏览器的cookis,正常的cookies,基于cookies
容易暴漏。
3.JWT
有意义的字符串,怎么去改造,有意义的字符串,
JWT的头信息,有效载荷,签名,有意义的字符串呢,头部的算法,第二部的有效载荷,用户信息,签名是通过算法bseline
plat秘钥去进行签名的,,普通tockn,好处是防止钻改,传输的速度太长了。
工具类,秘钥,多长呢?生成JWT,,校验JWT,这么长,秘钥比较简单,,所以说JWT防止去哪改,
不防止泄露,怎么去改我们的JWT的,,这个时候,基于内存的,基于数据库U的,前后端分离之后用的,
前后端分离的,第一个分离是数据库的,JWT的new JWT token,千万不要这么做,怎么去做,
JDK自带的工具可以生成Keypair的文件,后缀名给OCPY到读取我们的pari ,加密的字符串,
tocken业务相关的,emijl,phone,useridn,niekcname,业务信息。增强器连
去调用的方式,
密码模式也好,认证模式,请求一次,要用JwT ,评判的只能用JWT,认证中心去,为什么不行。
initzliabale,拿到我们的拿到密钥之后,少一次调用,自己可以验签。可以通过refini,跑起来,现在我们获取gettocken,
一旦通过JWT路径,访问一个路径,get 一个东西,放进去就处理成功了。
篡改是不行的,使用JWT有什么好处呢?非JWT的方法中,校验tockneinfo传送到这个逻辑,现在这个完全可以不要。
JWT直接去解析,直接不要,标为一个资源服务器,拿去我们的公钥,spring secroty 直接去拿取。
认证路径,其实Spring是支持gataway 不行,Spring seclrity 只来与支持web环境,
zuaul 直接可以获取。
扫一扫
1360
评论 2
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
