双Token实现登录升级

于 2024-06-15 17:11:30 发布
阅读量841 收藏 15
点赞数 12
分类专栏: 仿B站项目学习笔记 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zpab115/article/details/139703953
版权

原登录方式:单Token验证

操作步骤:

  1. 用户登录: 用户在客户端输入用户名和密码,然后将这些信息发送给服务器。

  2. 验证用户信息: 服务器接收到请求后,会首先验证用户提供的用户名和密码是否正确。

  3. 生成JWT: 如果服务器验证用户信息正确,会采用一个签名算法(比如HMAC SHA256或RSA)结合一个只有服务器知道的密钥,生成JWT。JWT的载荷(Payload)部分通常会包含用户的一些信息,例如用户ID,以标识用户身份。

  4. 发送JWT: 服务器将新生成的JWT在响应中返回给客户端。

  5. 存储JWT: 客户端在收到包含JWT的响应后,会把JWT存储在本地,比如说保存进Cookie或者localStorage。

  6. 发送请求: 之后客户端每次向服务器发送请求时,都会将这个JWT放在请求头的Authorization字段中发送给服务器。

  7. 验证JWT: 服务器在收到请求后,会解码JWT,然后使用保存的密钥验证签名。如果签名验证通过,说明请求是由该用户发起的,服务器就会返回请求的数据。如果验证失败,服务器会拒绝请求,并返回一个错误响应。

可能存在的问题:

1. 用户在退出登录以后,如果Token还在有效期内,那么用户依然可以操作,但这是不允许的。

2. 用户还在登录状态中,但是Token的有效期过了,则用户没法继续操作,会给用户带来较差的体验。

解决方法:双Token实现登录升级(登录续签)

  1. 用户登录: 用户使用用户名和密码登录时,服务端验证凭据有效性,然后会设置一个Access Token和一个Refresh Token。

  2. 生成 Token: Access Token中包含了必要的数据(例如用户ID),这个Token具有较短的有效期,例如15分钟。Refresh Token通常设置得更长,例如14天,并且会被存储在数据库中以跟踪它的有效性。

  3. 发送 Token: 服务端将生成的Access Token和Refresh Token都发回给客户端。客户端通常将Access Token存储在内存中,并将Refresh Token存储在安全的地方(比如httpOnly的cookie或本地存储)。

  4. 使用 Access Token: 客户端在后续的每次请求时,都会在请求头中添加Access Token。服务端收到此请求后,会验证Token,如果有效,就处理此请求,否则,返回一个错误信息。

  5. Access Token 过期: 当Access Token过期了,任何试图使用这个过期Token的请求都会得到一个错误响应,提示Token已过期。

  6. 使用 Refresh Token: 如果客户端收到一个提示Access Token过期的错误响应,那么它会使用前面存储的Refresh Token,发送到一个特殊的端点来获取新的Access Token。

  7. 验证和生成新的 Access Token: 当服务端收到Refresh Token后,会验证其有效性(通常要查找数据库并确保它还没有被废止)。如果Refresh Token仍然有效,那么服务端就会生成一个新的Access Token,然后发送给客户端。

重写接口

1. 登录接口:返回双Token

        创建新数据库表,存放刷新Token : id,userid,refreshtoken,time

        先删除原有刷新Token,再将刷新Token保存到数据库中,

2. 退出登录接口:

        删除刷新Token

3. 刷新Token接口:返回新的接入Token

第三章结束啦,明天开始学习第四章啦!!!!!!!

小钟学不会java
关注
专栏目录
tokenbridge:向以太坊RSK令牌桥实现
04-29
通过使用联盟将事件从一个合约发送到另一个合约来实现这种互操作性,一旦另一条链上的网桥从联盟接收到该事件,它将在镜像ERC20合约上铸造令牌。 请参阅以了解有关其工作原理的更多信息! 每个合同上的网桥都是可...
前后端分离模式下,实现token鉴权登录,无感刷新
最新发布
JiQie_的博客
10-30 539
就像我说的他会基于洋葱模型进行验证,我们也可以理解为只要给我们的接口加了我们定义的中间件处理函数,那这个接口就不是白名单,不加的话就是白名单,
token登录
qq_60893085的博客
09-28 381
这提高了系统的安全性。降低对资源服务器的负载: 由于AccessToken的有效期较短,资源服务器(通常是后端服务器)需要验证AccessToken的有效性。使用RefreshToken可以减少对资源服务器的请求次数,因为AccessToken过期后不需要每次都请求资源服务器进行验证,只需使用RefreshToken获取新的AccessToken即可。Token 刷新: 在前文提到的身份验证和令牌管理方案中,响应拦截器可以用于检查令牌的有效性,如果令牌过期,它可以自动请求新的令牌,并重新发送之前的请求。
token登录无感刷新
qq_46606917的博客
03-27 1046
token登录
用户登录设计之token设计
CRMEB小程序商城的博客
12-02 5241
背景 笔者在做的一个项目之前的登录接口是实习生写的,登录设计就是简单的提交用户名密码获取token,然后token的过期时间巨长是30天,于是乎另一位工作年限长一点的同事修改了代码,变成了登录获取两个token: 1.accessToken: 真正用来获取数据的权限 2.refreshToken: 用来获取accessToken 为什么需要token? 总所周知,token是为了防止用户信息传来传去导致被劫持,但是假如token没有过期时间或者过期很长,那么显然token被劫持还是不安全的,token
45.token无感熟悉以及解决sso单点登录限制
YouMing_Li的博客
11-30 2426
上文已经介绍了jwt的基本原理和用法,,本文将介绍token机制,以及sso单点登录
登录生成token的理解
m0_64479814的博客
04-21 5251
token机制是为了提高系统安全性而采用的一种措施。它指的是在登录成功后,会生成两个token返回给客户端::用于访问受限资源,有一定的生命周期,过期需要重新获取。:用于刷新Access Token,生命周期较长。
后端token登陆快速入门:token实现登陆,判断登陆过期
Old_Secretary的博客
04-14 3622
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用token来解决。附带token流程和示例代码
spring cloud分布式项目 结合vue2 实现token 单点登陆 详细代码实现
qq_60614034的博客
04-05 1760
本项目采用阿里巴巴的nacos进行分布式项目搭建,本文只讲单点登陆的token实现,需要会搭项目的同学才能看的懂。对security不熟悉的可以先看我之前的两篇spring security 前后端分离 进行用户验证 权限登陆的实现代码(看不懂??直接cv)基于spring security实现vue2前后端分离的token刷新机制(完整代码详解,含金量拉满!
token实现token超时策略示例
09-04
用于restful的app应用无状态无sesion登录示例,需要的朋友可以参考下
史上最全springboot+vue3+element-plus代码实现web登录页面(附件有代码)
04-15
SpringBoot_demo是一个包含Spring Boot、Vue.js和Element Plus框架实现的Web登录页面示例项目。这个项目展示了如何将这三个技术栈结合,构建一个完整的前端到后端的应用。下面将详细介绍这些关键技术及其在登录页面...
springboot079信息化在线教学平台的设计与实现.zip
05-26
通过配置OAuth2或JWT(JSON Web Token),可以实现安全的用户身份验证,保护教育资源的安全。 六、前端技术选型 前端界面是教学平台与用户交互的窗口,可以选择Thymeleaf、FreeMarker或Vue.js等技术配合SpringBoot...
Python-DocProduct使用自然语言处理模型如BERT和GPT2实现医疗问答
08-10
1. 数据预处理:收集医学领域的问答数据,对问题和答案进行分词、去停用词等预处理操作,然后将文本转换为模型可接受的输入格式,如BERT的Token IDs和Segment IDs。 2. 模型加载与微调:从Hugging Face的...
JWT令牌(token实现登录验证
weixin_43973161的博客
09-23 6722
就是在登陆操作之后由服务端返回两个token:accessToken和refreshToken,在之后的验证登录态的操作中使用这两个token进行验证,其中accessToken的过期时间相当短,refreshToken的过期时间相对于accessToken而言相当长,且会不断的刷新。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
如何实现token续期——token实现
TaloyerG的博客
10-24 1302
我们知道token的失效时间,是在创建时就规定的时间,如果时间一到,用户即使任然在操作,那么也会强制退出,体验非常不好,本文介绍token续期的常见方式之一token
Token实现无感刷新
New_user_的博客
01-19 2085
服务端把用户信息放入token里,设置一个过期时间,客户端请求的时候通过的header携带token,服务端验证通过,就可以从中取到用户信息。token是有过期时间的,比如3天,那过期后再访问就需要重新登录了。这样体验并不好。想想你在用某个app的时候,用着用着突然跳到登录页了,告诉你需要重新登录了。是不是体验很差?所以要加上续签机制,也就是延长token过期时间。主流的方案是通过token,一个、一个。登录成功之后,返回这两个token访问接口时带上访问:当过期时,通过来刷新,拿到新的。
web前端之token的神奇功效-登陆验证
10-12 1373
细心的你可能会发现,我们在使用app的时候只需要登陆一次账号之后下一次打开就不需要再次登陆,但经过一段时间不登录之后又会要求我们重新登陆,你知道这是如何实现的吗? token验证 具体说明如下: 1.根据需要下载软件,完成注册账户 2.登录账户,后端返回 两个token信息,分别为 access_token 以及 refresh_token,access_token称之为短token,refresh_token称之为长token ...
token登录验证方案简单总结
云雨之石的博客
04-13 3025
今天做项目登录部分,跟旁边同事交流登录过程中封装的一个名为refreshToken的一个API,我有些纳闷,不懂这个refreshToken刷新token有什么用,是要跳转到登录页重新登录获取token吗?如果是这样,那为什么定这样一个名字而不叫做reLogin呢? 经过几分钟的交流,我得到了答案: 原来,我们的系统为了安全方面的考虑,定义了两个token,一个token是验证登录token,一个token是refresh的token,这两个token中,前者的过期时间较短,后者的过期时间较长 当用户登录
前后端分离的通用权限系统实现方法
- **会话管理**:管理用户登录状态,如生成token,处理会话超时等。 ### 知识点四:前后端交互 前后端分离架构中,前端与后端的交互通常通过HTTP API进行,前端使用Ajax(Asynchronous JavaScript and XML)或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值