Refresh Token介绍

最新推荐文章于 2025-06-17 21:22:01 发布
最新推荐文章于 2025-06-17 21:22:01 发布
阅读量1.9w 收藏 41
点赞数 5
CC 4.0 BY-SA版权
文章标签: Token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/NSPOKS/article/details/101771817

Refresh Token介绍

上篇文章说到Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位,而Token的playload部分一般会存储相关的过期时间,一旦Token过期就会被网关拦截,因此如何设置Token刷新机制也是一个重点。

刷新Token探讨

  1. 过期时间尽量地短 ,过长的过期时间会让系统有长期暴露在接口的风险,理论上过期时间越短越好。但是过短的时间明显会带来不好的用户体验,想象下手机固定十秒钟就会锁屏一次。因此不能Token一过期就让用户重新登录,Token需要在后端或者前端动态刷新。
  2. 将Token存储在服务端 ,在服务器端保存 Token 状态,用户每次操作都会自动刷新(推迟) Token 的过期时间——Session 就是采用这种策略来保持用户登录状态的。然而仍然存在这样一个问题,在前后端分离、单页 App 这些情况下,每秒种可能发起很多次请求,每次都去刷新过期时间会产生非常大的代价。如果 Token 的过期时间被持久化到数据库或文件,代价就更大了。所以通常为了提升效率,减少消耗,会把 Token 的过期时保存在缓存或者内存中。
  3. 使用Refresh Token刷新 服务端不需要刷新 Token 的过期时间,一旦 Token 过期,就反馈给前端,前端使用 Refresh Token 申请一个全新 Token 继续使用。这种方案中,服务端只需要在客户端请求更新 Token 的时候对 Refresh Token 的有效性进行一次检查,大大减少了更新有效期的操作,也就避免了频繁读写。当然 Refresh Token 也是有有效期的,但是这个有效期就可以长一点了,比如,以天为单位的时间。refresh token,也是加密字符串,并且和token是相关联的。相比获取各种资源的token,refresh token的作用仅仅是获取新的token,因此其作用和安全性要求都大为降低,所以其过期时间也可以设置得长一些。

Refresh Token实现原理

  • 在access_token里加入refresh_token标识,给access_token设置短时间的期限(例如一天),给refresh_token设置长时间的期限(例如七天)。当活动用户(拥有access_token)发起request时,在权限验证里,对于requeset的header包含的access_token、refresh_token分别进行验证:

  • 1、access_token没过期,即通过权限验证;

  • 2、access_token过期,refresh_token没过期,则返回权限验证失败,并在返回的response的header中加入标识状态的key,在request方法的catch中通过webException来获取标识的key,获取新的token(包含新的access_token和refresh_token),再次发起请求,并返回给客户端请求结果以及新的token,再在客户端更新公共静态token模型;

  • 3、access_token过期,refresh_token过期即权限验证失败。

Refresh Token生成步骤

  • 一: 生成Token时加入refresh token标志
  • 二:在权限验证环节,对于access_token、refresh_token设置不同时间的期限。再根据判断结果返回状态。
  • 三:生成Token时加入refresh token标志
  • 四:生成Token时加入refresh token标志

具体代码格式与参考博客

masgak
关注
通过refreshToken实现token的无感刷新
chenIsyyds的博客
07-27 1589
通过refreshToken实现token的无感刷新 token 在本地保存的时间一般都很短暂,当我们toekn失效的时候就需要重新登录这样会使用户的体验非常不好,而我们在做登录的时候可以在后台获取用于刷新 tokenrefreshtoken 数据,我们拿到这个数据可以在token失效的时候重新发送请求获取最新的 token 从而达到无感刷新token的效果 在vue中的操作具体如下: 1. 在vue中通常我们会把一些公用的数据存放在store中 // 在 state中 定义 refresh
一文精通JWT Token、ID Token、Access TokenRefresh Token
FeelTouch Labs
02-21 2123
用于授权访问资源,任何 Bearer 持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密 key。一个 Bearer 代表授权范围、有效期,以及其他授权事项;一个 Bearer 在存储和传输过程中应当防止泄露,需实现 Transport Layer Security (TLS);一个 Bearer 有效期不能过长,过期后可用 Refresh Token 申请更新。
关于RefreshToken介绍
weixin_63929524的博客
05-03 2450
客户端通常在请求中使用Token,当Token过期时,客户端将使用RefreshToken请求新的Token。服务器收到带有RefreshToken的请求时,将检查RefreshToken的有效性,并使用它来生成新的Token,同时返回新的Token和新的RefreshToken。通过上述步骤,我们就实现了双Token机制,可以减少用户Token过期重复登录问题,并且可以在Token过期时自动刷新Token,避免了客户端频繁反复请求的情况。首先,我们需要明确什么是Token,以及为什么需要使用Token
token三验证(Refresh Token 机制​)
最新发布
asom12的博客
06-17 1132
解决单token带来的风险问题
什么是 Refresh Token
让每一行代码都有改变世界的力量
09-18 6869
什么是 Refresh Token AccessToken 和 IdToken 是 JSON Web Token (opens new window),有效时间通常较短。通常用户在获取资源的时候需要携带 AccessToken,当 AccessToken 过期后,用户需要获取一个新的 AccessTokenRefresh Token 用于获取新的 AccessToken。这样可以缩短 AccessToken 的过期时间保证安全,同时又不会因为频繁过期重新要求用户登录。 用户在初次认证时,Refresh
TokenRefresh Token
Mr_lee_1的博客
09-05 2673
刷新令牌提高了用户体验和安全性,允许客户端在访问令牌过期时自动续期,而不需要让用户重新登录。获取令牌需要重新进行身份验证,操作复杂且影响用户体验。刷新令牌通过分离短期的访问令牌和长期的刷新令牌,可以平衡用户体验和安全需求,同时减少服务器的负载。
tokenrefreshtoken
LINDYING的博客
05-11 2379
tokenrefreshtoken
vue中前端利用refreshToken结合axios拦截器实现token的无感刷新
01-16
内容概要: 1、首次登录的时候会获取到两个token(AccessToken,...阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
APP使用tokenrefreshToken实现接口身份认证,保持登录状态.vsdx
07-08
APP使用tokenrefreshToken实现接口身份认证,保持登录状态
APP使用tokenrefreshToken实现保持登录状态.vsdx
07-16
App使用TokenRefreshToken 完成登录认证接口,保持登录状态。 这是使用TokenRefreshToken的流程图。
QR_Code扫码获取阿里云盘refresh_token_For_Web_aliyundriver-
09-04
根据提供的文件信息,本篇内容将详细介绍QR码扫码获取阿里云盘Web端refresh token的方法、流程以及其相关概念和操作要点。阿里云盘作为阿里巴巴集团旗下的云存储服务,提供了便捷的文件存储、分享和同步功能。...
关于refresh_token
dgiij的博客
08-11 661
其实不论多长时间,总会有超期时间,这时候用户访问时会跳转到登录界面要求重新登录,这样的体验是不太好的,所以一般情况下,登录成功后,可以提供两个token给前端,一个是access_token,也就是前面介绍的通常意义上的jwt,而另一个是refresh_token,它的有效期比access_token的要长一些,用户在access_token过期且access_token未过期情况下可为前端重新申请access_token(其实也可以同时更新refresh_token
关于tokenrefresh token
热门推荐
weixin_41282397的博客
08-21 1万+
0x01. refresh token 的意义 传统的认证方式一般采用cookie/session来实现,这是我们的出发点。 1.为什么选用token而不选用cookie/session? 本质上token和cookie/session都是字符串,然而token是自带加密算法和用户信息(比如用户id),;而cookie本身不包含用户信息,它指向的是服务器上用户的 session,而由sessi...
tokenrefresh token
luminita_的博客
10-09 5581
最近一段时间新接手一个项目,第一次听说refresh token,下面谈谈我自己的理解。 首先,什么是token? 什么是refresh token?两者之间有什么关系? 1.token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 2.refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口,我们传入Refresh_t
OAuth 2.0 中的 refresh_token 和它的重要性
AI天才研究院
12-27 2137
1.背景介绍 OAuth 2.0 是一种授权机制,它允许第三方应用程序访问用户的资源,而无需获取用户的凭据。这种机制通常用于在网络上进行身份验证和授权。在 OAuth 2.0 中,refreshtoken 是一种特殊类型的访问令牌,用于在访问令牌过期之前重新获得新的访问令牌。在本文中,我们将讨论 refreshtoken 的重要性,以及如何在 OAuth 2.0 中实现它。 2.核心概念与联系...
关于refresh token的总结
MPFLY的博客
03-01 7248
refresh_token使用说明和记录
tokenrefresh_token
grow_的博客
07-18 1769
token,refresh_token失效
tokenrefreshtoken的问题
2301_76622053的博客
05-12 1227
所以调用修改token的这个方法的载荷里,把tokenrefresh_token都写上,token就是从第三次请求中得到的token中来,refresh_token就是原本的refresh_token。第三次请求中拿到的数据里,data里的token就是我们要的刷新之后的token,用这个新获取到的token替换掉存储在store里的老token。在state里存储的tokenObj对象里,有两个数据,tokenrefresh_token,但是我们调用修改方法 只传了一个token
refreshtoken token实现
03-21
### refresh token 的实现方式及流程 在现代身份验证体系中,`refresh token` 是一种用于重新获取有效 `access token` 的机制。以下是关于如何通过 `refresh token` 实现 `token` 刷新的具体方法及其工作流程: #### 1. 基本概念 - **Access Token**: 通常是一个短生命周期的令牌,客户端可以使用它来访问受保护资源[^1]。 - **Refresh Token**: 通常是长生命周期的令牌,允许客户端在不重新登录的情况下获得新的 `access token`。 #### 2. 工作原理 当用户的 `access token` 即将过期时,客户端可以通过发送有效的 `refresh token` 来向授权服务器请求一个新的 `access token`。在此过程中,服务器可能会返回一个新的 `refresh token` 或继续沿用旧的 `refresh token`,具体取决于配置和安全策略[^2]。 #### 3. 请求过程 以下是基于 OAuth 2.0 标准的一个典型刷新流程: ##### (a) 客户端准备 客户端需要保存两个重要数据: - 当前的有效 `refresh token` - 授权服务器地址(即 `/token` 端点) ##### (b) 发送请求 客户端向授权服务器发出 POST 请求,传递必要的参数。以下是一个标准的 HTTP 请求示例: ```http POST /oauth/token HTTP/1.1 Host: authorization-server.com Content-Type: application/x-www-form-urlencoded grant_type=refresh_token&client_id=your_client_id&client_secret=your_client_secret&refresh_token=existing_refresh_token ``` 其中: - `grant_type`: 设置为 `refresh_token` 表明这是一个刷新请求。 - `client_id` 和 `client_secret`: 应用程序的身份凭证。 - `refresh_token`: 需要使用的现有 `refresh token`。 ##### (c) 服务端处理 授权服务器接收到请求后会执行以下操作: 1. 验证传入的 `refresh token` 是否合法且未被吊销。 2. 如果合法,则生成并返回一个新的 `access token` 及可能的新 `refresh token`。 ##### (d) 返回响应 如果一切正常,服务器将以 JSON 格式返回如下结构的数据: ```json { "access_token": "new_access_token", "token_type": "Bearer", "expires_in": 3600, "refresh_token": "optional_new_refresh_token" } ``` 字段说明: - `access_token`: 新生成的短期令牌。 - `token_type`: 令牌类型,一般为 Bearer。 - `expires_in`: 访问令牌有效期(秒数)。 - `refresh_token`: (可选)新生成的长期令牌。 #### 4. 安全注意事项 为了防止恶意攻击者滥用 `refresh token`,应采取以下措施: - 使用 HTTPS 加密通信以保障传输安全性。 - 对 `refresh token` 设定合理的生存周期,并定期轮换。 - 在检测到异常行为时立即撤销对应的 `refresh token`[^3]。 --- ### 示例代码 下面是一段简单的 Python 脚本演示如何利用 `requests` 库完成一次 `refresh token` 请求: ```python import requests def refresh_tokens(refresh_token, client_id, client_secret): url = 'https://authorization-server.com/oauth/token' payload = { 'grant_type': 'refresh_token', 'client_id': client_id, 'client_secret': client_secret, 'refresh_token': refresh_token } response = requests.post(url, data=payload) if response.status_code == 200: tokens = response.json() return tokens['access_token'], tokens.get('refresh_token') else: raise Exception(f"Failed to refresh token: {response.text}") # Example usage try: new_access_token, new_refresh_token = refresh_tokens( refresh_token='old_refresh_token', client_id='app_client_id', client_secret='app_client_secret' ) print("New Access Token:", new_access_token) except Exception as e: print(e) ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值