45.双token无感熟悉以及解决sso单点登录限制

原创 已于 2024-03-10 16:44:56 修改 · 4k 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#golang

于 2023-11-30 23:07:44 首次发布

文章目录

上文已经介绍了jwt的基本原理和用法,44.jwt在go中的使用及原理(一),本文将介绍双token机制,以及sso单点登录

一、双Token机制

基于token安全性的处理 access token 和 refresh token

以下access token简称 atokenrefresh token 简称 rtoken。无感刷新方式。

在用户登录的时候颁发两个tokenatoken rtokenatoken 的有效期很短,根据业务实际需求可以自定义。一般设置为10分钟足够。rtoken有效期较长,一般可以设置为一星期或者一个月,根据实际业务需求可以自行定义。(根据查询资料得知 rtoken需要进行client-sercet才能有效)。当atoken过期之后可以通过rtoken进行刷新,但是rtoken过期之后,只能重新登录来获取。

atoken丢失之后没关系,因为它有效期很短。当rtoken丢失之后也没关系,因为他需要配合client-sercet才能使用。

在生成token时,我们一次生成两个token,atoken用于认证,会包含有用户相关信息,如UserID,Username等, 而rtoken不会保存用户信息,专门用于刷新atoken

// GenToken 颁发token access token 和 refresh token
func GenToken(UserID int64, Username string) (atoken, rtoken string, err error) {
	rc := jwt.RegisteredClaims{
		ExpiresAt: getJWTTime(ATokenExpiredDuration),
		Issuer:    TokenIssuer,
	}
	at := MyClaim{
		UserID,
		Username,
		rc,
	}
	atoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, at).SignedString(mySecret)

	// refresh token 不需要保存任何用户信息
	rt := rc
	rt.ExpiresAt = getJWTTime(RTokenExpiredDuration)
	rtoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, rt).SignedString(mySecret)
	return
}

在验证用户登录之后,根据传入的UserIDUsername ,生成atokenrtoken。在颁发token中可以分别规定两个token的过期时间

校验token

// VerifyToken 验证Token
func VerifyToken(tokenID string) (*MyClaim, error) {
	var myc = new(MyClaim)
	token, err := jwt.ParseWithClaims(tokenID, myc, keyFunc)
	if err != nil {
		return nil, err
	}
	if !token.Valid {
		return nil, ErrorInvalidToken
	}

	return myc, nil
}

根据传入的token值来判断是否有错误,如果错误为无效,说明token格式不正确或者token已经过期。

无感刷新token

首先校验rtoken是否还有效,rtoken有效的情况下继续校验atoken是否是因为过期导致的失效,是的话可以刷新atoken然后返回给前端。

// RefreshToken 通过 refresh token 刷新 atoken
func RefreshToken(atoken, rtoken string) (newAtoken, newRtoken string, err error) {
	// rtoken 无效直接返回
	if _, err = jwt.Parse(rtoken, keyFunc); err != nil {
		return
	}
	// 从旧access token 中解析出claims数据
	var claim MyClaim
	_, err = jwt.ParseWithClaims(atoken, &claim, keyFunc)
	// 判断错误是不是因为access token 正常过期导致的
	v, _ := err.(*jwt.ValidationError)
	if v.Errors == jwt.ValidationErrorExpired {
		return GenToken(claim.UserID, claim.Username)
	}
	return
}

完整代码

package main

import (
	"errors"
	"time"

	"github.com/golang-jwt/jwt/v4"
)

const (
	ATokenExpiredDuration  = 10 * time.Minute
	RTokenExpiredDuration  = 30 * 24 * time.Hour
	TokenIssuer            = ""
)

var (
	mySecret          = []byte("xxxx")
	ErrorInvalidToken = errors.New("verify Token Failed")
)

type MyClaim struct {
	UserID   int64  `json:"user_id"`
	Username string `json:"username"`
	jwt.RegisteredClaims
}

func getJWTTime(t time.Duration) *jwt.NumericDate {
	return jwt.NewNumericDate(time.Now().Add(t))
}

func keyFunc(token *jwt.Token) (interface{}, error) {
	return mySecret, nil
}

// GenToken 颁发token access token 和 refresh token
func GenToken(UserID int64, Username string) (atoken, rtoken string, err error) {
	rc := jwt.RegisteredClaims{
		ExpiresAt: getJWTTime(ATokenExpiredDuration),
		Issuer:    TokenIssuer,
	}
	at := MyClaim{
		UserID,
		Username,
		rc,
	}
	atoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, at).SignedString(mySecret)

	// refresh token 不需要保存任何用户信息
	rt := rc
	rt.ExpiresAt = getJWTTime(RTokenExpiredDuration)
	rtoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, rt).SignedString(mySecret)
	return
}

// VerifyToken 验证Token
func VerifyToken(tokenID string) (*MyClaim, error) {
	var myc = new(MyClaim)
	token, err := jwt.ParseWithClaims(tokenID, myc, keyFunc)
	if err != nil {
		return nil, err
	}
	if !token.Valid {
		err = ErrorInvalidToken
		return nil, err
	}

	return myc, nil
}

// RefreshToken 通过 refresh token 刷新 atoken
func RefreshToken(atoken, rtoken string) (newAtoken, newRtoken string, err error) {
	// rtoken 无效直接返回
	if _, err = jwt.Parse(rtoken, keyFunc); err != nil {
		return
	}
	// 从旧access token 中解析出claims数据
	var claim MyClaim
	_, err = jwt.ParseWithClaims(atoken, &claim, keyFunc)
	// 判断错误是不是因为access token 正常过期导致的
	v, _ := err.(*jwt.ValidationError)
	if v.Errors == jwt.ValidationErrorExpired {
		return GenToken(claim.UserID, claim.Username)
	}
	return
}

二、双Token最佳实践

使用 JWT 实现的双令牌验证主要有以下几步:
在这里插入图片描述

  • 后端需要对外提供一个刷新Token的接口,前端需要是实现一个当Access Token过期时自动请求刷新Token接口获取新Access Token的拦截器。
  • 用户登录时,服务端同时生成并返回 access tokenrefresh token。其中,access token 的有效期较短,例如 10 分钟。而 refresh token 的有效期较长,例如 30 天。这两种 token 都可以用 jwt-go 生成。
  • 如果 refresh token 也过期了,那么客户端必须要重新登录,以获取新的 access tokenrefresh token

注意:在实际的生产环境中,为了保证系统的安全性,你可能需要考虑到以下几点:

  • Token也可以在服务端保存一份,比如存到Redis中,并对前端传来的tokenredis中的比较,这样可以实现服务端主动让token失效,比如从redis删除token即可。
  • 考虑到用户的session状态,当用户退出登录或者修改密码后,需要把保存在服务端的refresh token删除或者置为无效。
  • 应用 HTTPS 协议以保护你的 token 不被截获。
  • 使用黑名单机制,当用户的 token 被盗或者用户退出登录后,你可以把这个 token 添加到黑名单中,防止它再次被用于请求。
  • 考虑到服务的可用性,你可能需要把 token 保存在像Redis这样的内存数据库中,以提升性能。

以上是 JWT 双令牌验证的一种常见的最佳实践,但需要注意,不同的业务场景可能需要不同的安全策略,总是需要根据实际业务需求和环境来灵活调整。

三、SSO单点登录

SSO说明
SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。https://baike.baidu.com/item/SSO/3451380

例如访问在网易账号中心(http://reg.163.com/ )登录之,访问以下站点都是登录状态

  • 网易直播 http://v.163.com
  • 网易博客 http://blog.163.com
  • 网易花田 http://love.163.com
  • 网易考拉 https://www.kaola.com
  • 网易Lofter http://www.lofter.com

SSO设计可参考:单点登录(SSO)的设计与实现

后端token登陆快速入门:token实现登陆,判断登陆过期
Old_Secretary的博客
04-14 6358
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用token解决。附带token流程和示例代码
#Vue3篇: token的原理--JSESSIONID无感刷新和JWT接口刷新和在SSO单点登录)系统中,IDM登录和逃生登录是两种关键机制,分别对应正常流程和异常处理场景
...
12-30 1467
= 基于这个后端是怎么更新token的==为了理解后端是如何更新 Token 的,我们需要考虑一个典型的基于 Token 的身份验证流程,特别是涉及 JSESSIONID 和自定义 Token(如 JWT, JSON Web Token)的情况。下面我将介绍两种常见的更新 Token机制:一种是基于会话的(使用 JSESSIONID),另一种是无状态的(使用 JWT>
spring cloud分布式项目 结合vue2 实现token 单点登陆 详细代码实现
qq_60614034的博客
04-05 2066
本项目采用阿里巴巴的nacos进行分布式项目搭建,本文只讲单点登陆的token实现,需要会搭项目的同学才能看的懂。对security不熟悉的可以先看我之前的两篇spring security 前后端分离 进行用户验证 权限登陆的实现代码(看不懂??直接cv)基于spring security实现vue2前后端分离的token刷新机制(完整代码详解,含金量拉满!
Token机制
最新发布
2401_85816985的博客
10-19 479
该方案使用短期令牌降低泄露风险,同时也使用长期令牌减少用户的登录频率,既保证了安全性,也兼顾了用户体验,可谓是一举两得。
单点登录SSO):Session+Cookie、TokenToken模式》
2301_79896470的博客
03-02 1200
单点登录(Single Sign-On,简称SSO)是一种身份验证机制,允许用户使用一组凭据(通常是用户名和密码)登录到一个系统后,无需再次输入凭据即可访问其他相关系统。SSO的主要目的是简化用户的登录过程,提高用户体验,并减少用户在多个系统中管理多个账户的负担。
token登录
qcztsn123的博客
04-08 1607
if (err) return res.status(403).json({ error: 'Token已过期或无效' });token) return res.status(401).json({ error: '缺少Token' });return res.status(403).json({ error: '无效的Refresh Token' });return res.status(403).json({ error: '无效或过期的Token' });// 模拟存储Refresh Token
单点登录(token)的简单总结
2301_76662406的博客
04-27 359
token就是控制了用户访问子系统的权限!也就是说,认证中心颁发两个token,一个是普通token一个是刷新token普通token用于访问子系统,时间很短容易过期一旦过期就用刷新token访问认证中心,认证中心查看刷新token没有过期就重新颁发普通tokentoken增加了控制力我要再登录再去访问,如果短token过期了,就用刷新token重新请求,这个时候你用户要是违法,那我就不给你发新的短token了。
单点登录SSO)看这一篇就够了
weixin_33725807的博客
09-06 4208
背景 在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员来说,很不方便。于是,就想到是不是可以在一个系统登录,其他系统就不用登录了呢?这就是单点登录解决的问题。 ...
浅谈谁都能看懂的单点登录SSO)实现方式(附源码)
10-20
单点登录(Single Sign-On,简称SSO)是现代企业业务整合中的一种流行解决方案,它允许用户在多个相互信任的应用系统中只需要登录一次即可访问所有系统,大大提高了用户体验和企业内部效率。SSO英文全称SingleSignOn...
基于SpringBoot2.0的SSO单点登录系统支持JWT与LDAP.zip
06-08
本项目名为“基于SpringBoot2.0的SSO单点登录系统支持JWT与LDAP”,它涉及的核心技术包括JWT(Json Web Token)和LDAP(Lightweight Directory Access Protocol)。JWT是一种用于方之间安全传输信息的简洁的、URL...
轻量级单点登录系统源码.zip
06-19
SSO的核心是共享一个中心化的身份验证服务,当用户在任一系统登录后,该服务会生成一个安全的会话令牌(Session Token),这个令牌可以被其他系统识别,从而实现跨系统的无感登录。这个过程涉及的主要步骤包括: 1....
如何实现token无感刷新
这人脑子有点不够用
05-16 483
为了确保用户在整个会话的期间保持登录状态,无需多次认证,我们需要做到无感刷新token首先当我们用户登录的时候会生成两个token
多点登陆 token 刷新_单点登陆(sso
weixin_42316909的博客
01-27 1070
有状态登陆(cookie+redis)首先有一个建立一个responseBean的类,两个属性,状态码和存储的数据。首先是登陆:①controller调用相应的服务(service)通过用户输入的账号和密码到数据库进行查询②如果没有则直接向controller返回一个状态码为404,数据为空的responsebean对象③有的话,将对象存在redis中,key得包含一个uuid的信息,比如key为...
Token 认证机制详解——原理、实现及代码示例
m0_61786208的博客
02-21 2941
适用于短期访问,过期后需要使用获取新 Token。只应存储在服务器端,避免暴露给前端。 Token 认证提供更高的安全性,同时减少用户的重复登录,提高体验。这种方式广泛应用于现代 Web 开发,尤其是 SPA(单页应用)、移动应用和微服务架构中。如果你的系统需要更高的安全性,建议结合Redis 或数据库存储 Refresh Token以便进行主动撤销。
聊聊微服务架构中的token
William Chen's knowledge base
07-11 1185
微服务架构中,Token机制(Access Token+Refresh Token)是保障分布式系统认证的核心方案。Access Token用于资源访问,有效期短;Refresh Token用于令牌刷新,存储于后端。认证中心负责Token的生成和验证,通过Redis存储并实现自动续期。该机制通过短时访问+长效刷新平衡安全性与用户体验,支持单点登录、移动端应用等场景,优于单Token机制。实现需考虑分布式锁、HTTPS加密、权限细分等安全策略,并结合业务需求选择技术栈。
Token实现登录升级
zpab115的博客
06-15 1072
用户在客户端输入用户名和密码,然后将这些信息发送给服务器。服务器接收到请求后,会首先验证用户提供的用户名和密码是否正确。如果服务器验证用户信息正确,会采用一个签名算法(比如HMAC SHA256或RSA)结合一个只有服务器知道的密钥,生成JWT。JWT的载荷(Payload)部分通常会包含用户的一些信息,例如用户ID,以标识用户身份。服务器将新生成的JWT在响应中返回给客户端。客户端在收到包含JWT的响应后,会把JWT存储在本地,比如说保存进Cookie或者localStorage。
用户登录设计之token设计
CRMEB小程序商城的博客
12-02 5439
背景 笔者在做的一个项目之前的登录接口是实习生写的,登录设计就是简单的提交用户名密码获取token,然后token的过期时间巨长是30天,于是乎另一位工作年限长一点的同事修改了代码,变成了登录获取两个token: 1.accessToken: 真正用来获取数据的权限 2.refreshToken: 用来获取accessToken 为什么需要token? 总所周知,token是为了防止用户信息传来传去导致被劫持,但是假如token没有过期时间或者过期很长,那么显然token被劫持还是不安全的,token
Token 认证机制:从原理到实践的完整实现
2501_93001072的博客
09-11 1417
Token 机制通过 Access Token 和 Refresh Token 的协同工作,在安全性和用户体验之间取得了出色的平衡。本文提供的完整代码实现了从令牌签发、验证、刷新到登出的全流程,包含了前端和后端的关键处理逻辑。使用 Redis 等分布式存储替换内存存储,支持集群部署实现令牌黑名单机制,处理已吊销但未过期的令牌添加令牌撤销通知,在用户修改密码等场景立即失效所有令牌结合 JWT(JSON Web Token)实现无状态令牌验证,减轻服务器负担。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值