全方位解析双 Token实现无感刷新:用 Spring Boot + Vue + Redis 构建高安全认证体系

最新推荐文章于 2025-04-17 21:25:23 发布
最新推荐文章于 2025-04-17 21:25:23 发布
阅读量2k 收藏 34
点赞数 17
文章标签: spring boot vue.js ux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_77613763/article/details/144381837
版权

前言:

随着Web应用需求的增加,如何保障用户数据和信息的安全,成为了开发者关注的重要问题。传统的单Token认证方法虽然简便,但在长时间使用或高频请求下,可能带来一定的安全隐患。双Token身份认证机制提供了一种更加安全且高效的方式,本文将详细介绍如何在Spring Boot和Vue中实现双Token认证。同时在单token进行操作时,也会遇到token到期而需要频繁登录的问题,使用双token就能很好地解决这个问题!

双Token介绍:

双Token认证机制是基于OAuth2.0标准的一种增强型身份认证方式,主要通过两个Token:访问Token(Access Token)刷新Token(Refresh Token),来分别处理认证与授权问题。

单Token VS 双Token

单Token:用户登录后,返回一个Token,用户每次请求都需要携带此Token进行身份认证。缺点是,Token一旦被盗取或泄露,恶意用户可以长时间访问系统,且Token有效期通常较长,若用户频繁使用系统,Token有效期过长也可能造成不便。

双Token:通过使用两个Token来提高安全性和用户体验。访问Token:短期有效,用于每次请求时验证身份,确保用户认证的实时性。刷新Token:长期有效,用于刷新过期的访问Token,避免频繁登录。

具体流程:

  1. 用户登录后生成token(过期时间短)和refreshToken(过期时间长),token和refreshToken先返回前端并保存到localstroage中,同时再将refreshToken保存到Redis中
  2. 前端请求头中携带token进行普通路径的方法调用
  3. 当token失效,过滤器中发现错误并返回前端
  4. 前端根据错误请求头携带上refreshToken并调用后端中更新token的方法
  5. 此时再次进入过滤器中,token还是报错,但是此时能检查到refreshToken,调用更新token的方法
  6. 在更新token的方法中,先检查当前的refreshToken是否存在与Redis中,若不存在,则说明refreshToken也过期了,用户需要重新登录
  7. 若Redis中存在refreshToken与当前的refreshToken对应,则说明是当前的短token过期了,重新生成token和refreshToken并返回前端,同时将新refreshToken存到Redis中?

详细操作:

首先这是我们暂时的登录与过滤器中的流程。只实现了单Token的生成及校验。

@Override
    public ResponseResult login(User user) {
        //1.构造用户名密码认证信息
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(user.getPhoneNumber(), user.getPassword());
        //2.使用SpringSecurity 中用于封装用户名密码认证信息的UsernamePasswordAuthenticationToken来进行认证
        //这里会进行账号密码校验,不成功会报403
        Authentication authenticate = authenticationManager.authenticate(authenticationToken);
        //3.认证不通过报错
        if(Objects.isNull(authenticate)){
            throw new RuntimeException("登录失败");
        }
        //4.认证通过则生成token
        LoginUser loginUser= (LoginUser) authenticate.getPrincipal();
        String userId = loginUser.getUser().getId().toString();
        String role = loginUser.getUser().getRole();
        String token = JwtUtil.createJWT(userId,role);//将userId进行token生成
        //4.1如果用户被禁用则无法登录
        String userStatus = userService.selectUserStatusByUserId(Long.valueOf(userId));
        if(userStatus.equals("banned")){
            return ResponseResult.error("您已被禁用,无法登录");
        }
        //5.封装数据到Redis中
        redisCache.setCacheObject(LOGIN_USER_KEY+userId,loginUser,LOGIN_USER_TTL, TimeUnit.MINUTES);
        //6.最后将token返回前端
        HashMap<String, String> map = n
最低0.47元/天 解锁文章
后端token登陆快速入门:token实现登陆,判断登陆过期
Old_Secretary的博客
04-14 5592
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用token来解决。附带token流程和示例代码
token实现无感刷新
qq_63431773的博客
09-12 1044
token 验证机制,其中 accessToken 过期时间较短,refreshToken 过期时间较长。当 accessToken 过期后,使用 refreshToken 去请求新的 token
Token 与 单 Token 优缺点
最新发布
子墨的日常
04-17 788
在Web应用开发中,身份认证和授权是保障系统安全的核心环节。随着技术演进,基于Token的认证机制逐渐取代传统Session方案,而Token与单Token架构的选型争议也日益成为开发者关注的焦点。本文将从技术原理、优缺点对比和实际应用场景三个维度,深入解析这两种认证方案的差异与适用场景。
token过期机制的问题
qq_46940224的博客
10-15 6586
浅谈一下token过期机制的问题
登录时做 token实现无感刷新
weixin_58215826的博客
05-17 1862
token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。总之,token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新的token,来提高系统的安全性和灵活性。:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。
token无感刷新
stc_ljc的博客
09-20 2260
token无感刷新是一种在Web开发中常用的安全及用户体验优化技术,主要涉及到两种类型的token:Access Token(访问令牌)和Refresh Token(刷新令牌)。以下是对token无感刷新的详细解释
Token实现无感刷新
New_user_的博客
01-19 2945
服务端把用户信息放入token里,设置一个过期时间,客户端请求的时候通过的header携带token,服务端验证通过,就可以从中取到用户信息。token是有过期时间的,比如3天,那过期后再访问就需要重新登录了。这样体验并不好。想想你在用某个app的时候,用着用着突然跳到登录页了,告诉你需要重新登录了。是不是体验很差?所以要加上续签机制,也就是延长token过期时间。主流的方案是通过token,一个、一个。登录成功之后,返回这两个token访问接口时带上访问:当过期时,通过来刷新,拿到新的。
手把手教你入门vue+springboot开发(十二)--无感token后端实现
dreamflyly的博客
08-10 830
上一篇我们详细解读了token实现,有一个问题:如果token过期失效时间设置过长,安全性得不到保障;如果token过期失效时间设置过短,会经常需要重新登录来获取新的token,用户体验很差。为了解决这个问题,一个常用的做法就是无感刷新token,那么如何实现无感刷新token呢?
基于Spring Boot + Vue 前后端分离个人博客网站设计
Lv Zejiang
06-17 9931
个人博客网站摘要一、绪论1.1 课题背景、目的、意义1.2 国内外研究现状1.3 技术介绍1.3.1 Spring Boot1.3.2 MyBatisPlus1.3.3 Shiro1.3.4 Redis1.3.5 Jwt1.3.6 Vue1.3.7 Element-ui1.3.8 Axios1.3.9 前后端分离二、可行性分析2.1 技术可行性分析2.2 时间和资源可行性三、需求分析3.1 用户分析3.2 功能需求分析3.3 流程分析四、结构设计4.1 实体e-r图4.2 数据库设计五、详细设计六、系统测试
基于Spring Boot+Vue的考试系统
yfyyfy1680的博客
10-17 5243
如果您对本系统感兴趣,请和原创作者联系,微信号:caomuxingqingQQ:513309965 http://kszx.xasjz.cn/ http://exam.zghqq.cn 本系统可以在线考试,也可以安装到本局域网中组织考试。
token无感刷新
2301_81801630的博客
11-07 2021
作为计算机术语时,是“令牌”的意思。Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
springboot集成JWT之token
weixin_74093287的博客
08-05 2690
(3)验证获取到的refreshToken是否合法,不合法,则accessToken为无效token(此处无效token单指自己编写,不是后端生成的token),不对accessToken进行更新操作,合法则重新生成新的accessToken。3,不直接将refreshToken存储到浏览器上,而是将其存储到accessToken的载荷里,后端通过获取accessToken的载荷内容获取到refreshToken,防止refreshToken被盗取。(4)通过该密钥去判断accessToken是否过期。
vue Token无感刷新
an_julia的博客
03-21 749
vue无感刷新token
SpringBoot】最佳实践——JWT结合Redis实现Token无感刷新
k123456kah的博客
03-15 1668
JWT是全称是JSON WEB TOKEN,是一个开放标准,用于将各方数据信息作为JSON格式进行对象传递,可以对数据进行可选的数字加密,可使用RSA或ECDSA进行公钥/私钥签名。JWT最常见的使用场景就是缓存当前用户登录信息,当用户登录成功之后,拿到JWT,之后用户的每一个请求在请求头携带上字段来辨别区分请求的用户信息。且不需要额外的资源开销。
Springboot 整合 JWT + Redis 实现Token 校验Demo(简单实现
热门推荐
MR.骑士道
11-23 1万+
Springboot 整合 JWT + Redis 实现Token 校验Demo(简单实现
vue axios实现token无感刷新
weixin_45606890的博客
07-26 3012
vue实现token无感刷新
Vuetoken无感刷新
ruancexiaoming的博客
03-06 3576
refresh token的目的是在access token过期后,无需用户重新登录,客户端可以使用refresh token向认证服务器申请新的access token。为了保证安全性,refresh token一般具备一定的安全措施,例如限制其使用次数(防止无限刷新)、设置有效期(过期后必须重新登录)以及严格的存储策略(通常不会在客户端明文存储,而是存储在服务器端或经过加密存储在客户端本地)。用户登录时,通过用户名、密码或其他认证方式向认证服务器请求授权。src目录下创建以下两个文件。
Springboot+Axiostoken解决token过期续签问题
huang714的专栏
11-10 3612
Springboot+Axiostoken解决token过期续签问题
Token方案实现Token自动续期(基于springboot+vue前后端分离项目)
qq_44286009的博客
06-10 4382
jwt理论介绍springboot+vue项目中使用jwt实现登录认证本篇文章的代码是在springboot+vue项目中使用jwt实现登录认证的基础上实现Token自动续期的功能。token解决方案是一种用于增强用户登录安全性和提升用户体验的认证机制。它主要涉及两个令牌:访问令牌(accessToken)和刷新令牌(refreshToken)。
pip install numpy时提示ModuleNotFoundError: No module named 'cv2.mat_wrapper'; 'cv2' is not a package
03-14
### 关于 `ModuleNotFoundError` 和 `cv2.mat_wrapper` 当遇到 `pip install numpy` 报错 `ModuleNotFoundError` 或者涉及 `cv2.mat_wrapper` 的问题时,通常是因为依赖项未正确安装或者环境配置存在问题。以下是详细的分析和解决方案: #### 1. **关于 `ModuleNotFoundError: No module named 'numpy'`** 此错误表明当前 Python 环境中缺少 NumPy 库。可以通过以下方法解决: - 使用 pip 安装 NumPy: ```bash pip install numpy ``` - 如果是在 Conda 虚拟环境中工作,则建议使用 conda 命令来管理包,因为 Conda 更适合处理科学计算库及其依赖关系: ```bash conda install numpy ``` 如果仍然报错,可能的原因包括: - 当前使用的不是目标虚拟环境,请激活正确的虚拟环境后再尝试安装。 - 存在多个 Python 版本冲突的情况,可以显式指定版本号进行安装: ```bash python3.7 -m pip install numpy ``` --- #### 2. **关于 OpenCV (`cv2`) 中的 `mat_wrapper`** OpenCV 并不存在名为 `cv2.mat_wrapper` 的模块或功能[^3]。这可能是由于误解或者是某些特定场景下的自定义封装函数引起的。 如果你希望操作矩阵数据结构(类似于 MATLAB 的 Matrix),可以直接利用 OpenCV 提供的核心类 `cv::Mat` 来实现图像或其他二维数组的操作。例如,在 Python 接口中,`cv2` 已经集成了 NumPy 数组的支持,因此你可以无缝转换两者之间的数据格式。 下面是一个简单的例子展示如何读取图片并将其作为 NumPy 数组处理: ```python import cv2 # 加载一张彩色图片 image_path = 'example_image.jpg' img = cv2.imread(image_path) if img is None: raise ValueError(f"无法加载图片 {image_path}") # 将 BGR 格式的图片转为 RGB 格式 rgb_img = cv2.cvtColor(img, cv2.COLOR_BGR2RGB) print(rgb_img.shape) # 输出形状 (height, width, channels) ``` 注意这里并没有提到所谓的 `mat_wrapper` 方法;如果有特殊需求需要用到该名称的功能,请确认是否有额外扩展库引入了这个特性。 --- #### 3. **综合考虑 PyInstaller 打包 Miniconda 环境中的复杂项目** 对于基于 Miniconda 构建的虚拟环境下包含 PyQt5、OpenCV、MediaPipe 及深度学习模型的应用程序来说,直接通过 PyInstaller 进行打包可能会面临诸多挑战,比如动态链接库缺失等问题[^1]。为了减少潜在风险,推荐执行如下措施之一或多条组合策略: - 明确列出所有必要依赖,并确保它们都被成功导入至最终可执行文件之中; - 对于 GPU 支持部分,需特别留意 TensorFlow 是否能够正常检测到硬件资源可用情况[^2]: ```python import tensorflow as tf if tf.config.list_physical_devices('GPU'): device_name = tf.test.gpu_device_name() else: device_name = '/CPU:0' print(f'Device name: {device_name}') ``` 最后提醒一点——务必验证生成后的独立应用程序能否脱离开发机器运行良好! ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值