token失效后再次请求获取新token

最新推荐文章于 2025-01-31 15:56:18 发布
最新推荐文章于 2025-01-31 15:56:18 发布
阅读量1.5w 收藏 3
点赞数 1
分类专栏: openstack 文章标签: keystone token authentication neutronclient
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cengjch2011/article/details/49682791
版权

在neutron日志中发现经常有认证失败warning,但是认证失败并不会导致服务请求报错,这是什么原因呢?

在keystonemiddleware中打印认证的token,发现认证失败的token都是已经过期的token,这些过期的token认证时肯定是失败的,所以返回认证失败。在认证失败后,服务会再次请求获取新的token,再用新的token进行验证,这样验证就可以通过了,也就不影响服务的正常运行了。代码分析如下:

在上一篇中blog《rest api请求时token的注入》介绍了neutronclient发起http请求的过程。httpclient实际上是SessionClient,因为创建client时传进的session总不是为None,是 keystoneclient.session.Session,所以调用的do_request函数是SessionClient的do_request函数。

class SessionClient(adapter.Adapter):

    def request(self, *args, **kwargs):
        kwargs.setdefault('authenticated', False)
        kwargs.setdefault('raise_exc', False)

        content_type = kwargs.pop('content_type', None) or 'application/json'

        headers = kwargs.setdefault('headers', {})
        headers.setdefault('Accept', content_type)

        try:
            kwargs.setdefault('data', kwargs.pop('body'))
        except KeyError:
            pass

        if kwargs.get('data'):
            headers.setdefault('Content-Type', content_type)

        resp = super(SessionClient, self).request(*args, **kwargs)
        return resp, resp.text

    def do_request(self, url, method, **kwargs):
        kwargs.setdefault('authenticated', True)
        self._check_uri_length(url)
        return self.request(url, method, **kwargs)
do_request函数调用request函数,request函数又调用父类的request函数,父类为adapter.Adapter,其request函数为: 

class Adapter(object):
    def request(self, url, method, **kwargs):
        endpoint_filter = kwargs.setdefault('endpoint_filter', {})
        self._set_endpoint_filter_kwargs(endpoint_filter)

        if self.endpoint_override:
            kwargs.setdefault('endpoint_override', self.endpoint_override)

        if self.auth:
            kwargs.setdefault('auth', self.auth)
        if self.user_agent:
            kwargs.setdefault('user_agent', self.user_agent)
        if self.connect_retries is not None:
            kwargs.setdefault('connect_retries', self.connect_retries)
        if self.logger:
            kwargs.setdefault('logger', self.logger)

        return self.session.request(url, method, **kwargs)

在Adapter函数中,又调用session.request函数,此处session和SessionClient的session是一样的,为keystoneclient.session.Session。其request函数为:

class Session(object):
    @utils.positional(enforcement=utils.positional.WARN)
    def request(self, url, method, json=None, original_ip=None,
                user_agent=None, redirect=None, authenticated=None,
                endpoint_filter=None, auth=None, requests_auth=None,
                raise_exc=True, allow_reauth=True, log=True,
                endpoint_override=None, connect_retries=0, logger=_logger,
                **kwargs):
        ........
        send = functools.partial(self._send_request,
                                 url, method, redirect, log, logger,
                                 connect_retries)
        
        resp = send(**kwargs)

        # handle getting a 401 Unauthorized response by invalidating the plugin
        # and then retrying the request. This is only tried once.
        if resp.status_code == 401 and authenticated and allow_reauth:            
            if self.invalidate(auth):
                auth_headers = self.get_auth_headers(auth)
                if auth_headers is not None:
                    headers.update(auth_headers)                    
                    resp = send(**kwargs)

        if raise_exc and resp.status_code >= 400:
            logger.debug('Request returned failure status: %s',
                         resp.status_code)
            raise exceptions.from_response(resp, method, url)

        return resp
从request函数可以看到在第一次send后获取返回的response(resp),如果返回的代码为401,并且authenticated,允许重新认证,则就会进行第二次认证,在发起第二次请求处理,如果第二次请求失败,则就再返回失败结果。












java token 超时_token超时刷策略(附源码)
weixin_39553423的博客
02-24 1977
求场景我们在做用户中心时,对于登录用户签发其对应的token,对token设置他的固定有效期时间。可是我们通常会遇到一个这样的问题:在有效期内用户携带token访问没问题,当过了有效期后token失效,用户重新登录获取token。想象以下,假如生产环境中我把token时间设置为15分钟,用户每隔15分钟重新登录一次,这种体验可能会被用户打死。实现目标一个优秀的体验应该是:活跃的用户应...
axios拦截器统一处理获取token,失效请求重新执行
qq_23064501的博客
08-26 1085
无登录token验证 const instance = axios.create({ baseURL: baseURL, timeout: 30000, }); export const interceptorsRequsetFun = (config) => { // let Token = get("token"); let Token = sessionStorage.token; let newToken; let expireTime = get("expireTi
解决接口测试中token失效问题
热门推荐
与君共勉
05-28 8万+
接口测试中我们经常是从登录接口获取token,其他的接口在header中传入token才可以正确发送请求。所以在做接口自动化测试时,我们不能将token写死,而是应该每次请求重新获取token,以保证接口请求可以正常得到正确的返回值。 我的解决思路是:在每次发送带token请求接口前,先调用登录接口获取token,然后将该值更要测试的接口头文件中。 根据post请求的两种最常...
测试 token 过期的两种方法
weixin_73217694的博客
01-31 554
测试 token 过期的两种方法
token的刷
qq_45432996的博客
05-06 3894
一般情况下状态码为 401 ,则表明 token 过期,要前端请求token 第一种:跳回登陆页面重新登陆 instance.interceptors.response.use( function (response) { // 对响应数据做点什么 return response.data }, function (error) { console.log(error) if (error.response) { if (error.re
token过期后刷token重新发起请求
weixin_44886911的博客
05-26 6121
系统登录成功后,后端返回token和refreshToken,所有请求都携带tokentoken如果过期接口将返回401,此时前端要拿着refreshToken去刷token,刷后将拿到token和refreshToken,并将token过期的请求重新发起,这样就做到了在用户没有任何感知的情况下自动刷token。 request.js中的代码 //默认不是正在刷token let isRefreshToken = false; let promiseArry = []; //当token失效
Java微信公众平台开发(六)——微信开发中的token获取
myitsite的博客
03-31 1万+
(一)token的介绍 引用:access_token是公众号的全局唯一票据,公众号调用各接口时都使用access_token。开发者要进行妥善保存。access_token的存储至少要保留512个字符空间。access_token的有效期目前为2个小时,定时刷,重复获取将导致上次获取的access_token失效! (二)token获取参考文档 获取的流程我们完全
请求token过期自动刷token操作
10-14
`token`获取成功后,再依次执行这些请求。 5. **刷Token请求**: `refreshTokenRequst`函数负责向服务器发送包含旧`refreshToken`的刷请求。服务器验证后会返回的`token`和`refreshToken`,更`...
Vue中登录验证成功后保存token,并每次请求携带并验证token操作
10-14
通常,服务器在用户成功登录后会返回一个令牌(如JWT,JSON Web Token),这个令牌用于后续的API请求,以验证用户的身份。本文将详细介绍如何在Vue中处理这个过程。 首先,当登录验证成功时,我们要将服务器返回...
ThinkPHP5.1表单令牌Token失效问题的解决
01-20
主要思路:在每次发送表单结束后(不管成功与否)通过Ajax异步请求一个的表单令牌并保存到表单隐藏域中,下次提交表单就使用的表单令牌去通过。 最终的效果如下: V2.5.0.png 主要分成三步: 第一步:在
vue的拦截器使用,和token失效后的刷token,发送之前的失败请求
zmyalh的博客
09-01 1170
** vue的拦截器使用,和token失效后的刷token,发送之前的失败请求 ** 1.axios请求拦截器 axios.interceptors.request.use((config) => { // 添加header头的token let token = store.state.user.access_token;//获取vuex里存的token if (token) { config.headers['Authorization'] = token } //登陆验证信
Ajax 统一处理token失效
weixin_30723433的博客
03-13 380
complete:function ajax 请求完成激活本事件。这个方法很方便完成ajax 异常的处理。 $.ajaxSetup({ contentType:"application/x-www-form-urlencoded;charset=utf-8", complete:function(XMLHttpRequest,textStatus){ ...
企业API接口设计之token、timestamp、sign具体实现
emprere的博客
04-12 682
往期热门文章:1,《往期精选优秀博文都在这里了!》2、Elasticsearch 在互联网公司大量真实的应用案例3、一份来自亚马逊技术专家的Google面试指南,GitHub收获9.8...
跳转登录失败问题token失效,先保存token、再用token
qq_43780814的博客
11-13 2207
你已被登出,可以取消继续留在该页面,或者重新登录 跳转物联 登录失败:不能获取token(登录已过期,请重新登录)。sessionStorage保存token。在获取 //store > user.js const user = { state: { token: getToken() || sessionStorage.getItem('hhy-session'), userinfo: '', authorityInfo: {}, busin.
umi-request请求中自动维护token、refresh token
奇乐软件开发踩坑日志
09-11 3134
locatstorage缓存管理token值 export default class Authority { /** * 保存token * * @param data * @param key * @return void */ public saveToken(data: { token_type?: string; expires_in?: number; access_token?: string; refresh_.
【SSO单点登录】JWT续签问题 && OAuth2.0 中的refreshToken机制
老男孩的架构路
10-14 2447
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端,前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这里就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token里边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
Python实现Token过期自动刷并重试原请求
XerCis的博客
09-18 2413
利用hooks和PreparedRequest机制实现
RxJava2 实战知识梳理(14) 在 token 过期时,刷过期 token重新发起请求
weixin_33971130的博客
12-21 803
一、应用背景 首先要感谢简友 楠柯壹梦 提供的实战案例,这篇文章的例子是基于他提出的要在token失效时,刷token重新请求接口的应用场景所想到的解决方案。如果大家有别的案例或者在实际中遇到什么问题也可以私信我,让我们一起完善这系列的文章。 有时候,我们的某些接口会依赖于用户的token信息,像我们项目当中的资讯评论列表、或者账户的书签同步都会依赖于用户token信息,但是token往往会...
服务器报没有token的错误,但是之后又正常执行
m0_47943986的博客
09-15 882
问题处理
java项目重启后token失效
最新发布
03-29
<think>好的,我现在要解决用户的问题:Java项目重启后Token失效的问题。首先,我要理解用户的具体情况。用户可能在开发一个使用Token进行身份验证的Java应用,比如基于JWT(JSON Web Token)或其他类型的Token机制。当项目重启后,之前发放的Token在服务端无法验证,导致用户重新登录,这显然会影响用户体验。 那么,为什么项目重启会导致Token失效呢?通常,Token的验证依赖于服务端存储的密钥或某些状态信息。如果服务端在重启后,这些密钥被重新生成,或者状态信息丢失(比如存储在内存中的Token黑名单或签发记录),就会导致之前的Token无法通过验证。 接下来,我要分析常见的解决方案。首先,考虑Token的生成机制。如果使用JWT,其签名通常依赖于一个密钥(secret key)。如果这个密钥在应用重启时重新生成,那么旧的Token将无法通过签名验证。因此,解决方法之一是确保密钥持久化,而不是每次启动时随机生成。例如,可以将密钥存储在配置文件、环境变量或外部密钥管理服务中,这样每次启动时都读取相同的密钥。 第二个可能的问题是Token的存储状态。例如,如果应用维护了一个Token黑名单(用于注销未过期的Token),而黑名单存储在内存中,重启后黑名单丢失,可能导致某些Token被错误地接受。但用户的问题更可能是Token本身在重启后失效,而不是注销问题,因此更可能涉及密钥的持久化。 此外,用户可能使用的是有状态的Token,比如存储在服务端数据库或缓存中的会话Token。如果应用重启导致缓存(如内存缓存)丢失,这些Token就无法验证。因此,解决方案是将Token的存储状态外化到持久化存储中,如数据库或Redis,这样即使应用重启,这些信息仍然保留。 现在,我要综合这些可能性,给出具体的解决步骤。首先,检查Token生成机制,确保密钥持久化。对于JWT,密钥要固定,而不是动态生成。其次,如果使用有状态的Token,确保其存储在外部持久化存储中。此外,检查Token的过期时间设置,确保在合理范围内,减少重启带来的影响。 可能还要考虑集群环境的情况。如果应用部署在多个实例上,密钥必须一致,否则不同实例生成的Token无法互相验证。因此,密钥管理在分布式系统中尤为重要。 最后,验证解决方案是否有效。例如,在应用重启后,使用之前生成的Token进行验证,确认是否仍然有效。同时,检查日志,查看Token验证失败的具体原因,以便针对性调整。 总结解决方案步骤: 1. 持久化JWT签名密钥,避免重启后变更。 2. 将Token状态存储到外部持久化系统(如数据库、Redis)。 3. 确保集群环境下密钥一致性。 4. 调整Token过期时间,平衡安全性与用户体验。 用户可能要具体的代码示例或配置方法,比如如何在Spring Boot中配置固定的JWT密钥,或者集成Redis存储Token状态。此外,还注意安全最佳实践,如定期轮换密钥时的处理方式,避免影响现有Token。</think>### Java项目重启后Token失效解决方案 #### 1. 根本原因分析 当Java应用重启时,以下两种情况会导致Token失效: - **动态密钥生成**:JWT签名密钥每次启动随机生成(例如`SecretKey`使用`SecureRandom`生成)[^1] - **内存态存储失效**:Token状态数据(黑名单/签发记录)存储在应用内存未持久化 $$ JWT签名验证公式:Signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) $$ #### 2. 完整解决方案 **步骤1:固化JWT签名密钥** ```java // 从外部配置读取密钥(示例为Spring Boot配置) @Value("${jwt.secret}") private String jwtSecret; // 初始化密钥方法 private Key getSigningKey() { byte[] keyBytes = Decoders.BASE64.decode(jwtSecret); return Keys.hmacShaKeyFor(keyBytes); } ``` *配置建议:* - 生产环境推荐使用密钥管理系统(如AWS KMS) - 开发环境可将密钥写入`application.properties`: ```properties jwt.secret=3fa0M8ehHpw4H8ZkXq0L7bTdRfTjWnZr4u7x!A%D*G-KaPdSgVkYp3s6v9y$B&E ``` **步骤2:状态外化存储** ```java // 使用Redis存储Token黑名单(Spring Data Redis示例) @Autowired private RedisTemplate<String, String> redisTemplate; public void addToBlacklist(String token, Date expiration) { long expireTime = expiration.getTime() - System.currentTimeMillis(); redisTemplate.opsForValue().set(token, "invalid", expireTime, TimeUnit.MILLISECONDS); } ``` **步骤3:集群环境配置(以Nacos配置中心为例)** ```yaml # 全局共享配置 jwt: secret: 统一密钥值 expiration: 86400000 # 24小时 ``` #### 3. 架构优化建议 $$ Token生命周期管理模型:T = f(secret, payload, storage) $$ ```mermaid graph LR A[客户端] -->|携带Token| B(网关层) B --> C{JWT验证} C -->|有效| D[业务服务] C -->|无效| E[认证中心] E --> F[Redis集群] F -->|验证状态| E ``` #### 4. 安全增强措施 - 密钥轮换策略:采用双密钥机制(当前密钥+历史密钥) - Token自动续期:当剩余有效期<30%时发放Token - 入侵检测:监控异常Token请求频率 $$ 风险阈值公式:R = \frac{异常请求数}{总请求数} \times 100\% > 5\% $$
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值