ACCESS_TOKEN与FRESH_TOKEN

最新推荐文章于 2025-06-17 21:22:01 发布
最新推荐文章于 2025-06-17 21:22:01 发布
阅读量995 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: IOS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fengjun10000/article/details/68952646
本文详细介绍了OAuth2.0中的刷新令牌(refresh_token)机制,解释了其如何增强系统的安全性,并讨论了使用刷新令牌的风险及防范措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

OAuth1.0中的access_token过期时间通常很长,安全性差。于是OAuth2.0推出了refresh_token。

OAuth2.0中,客户端用账户名,密码经过一定方式(比如先请求code),获得ACCESS_TOKEN,expire_in与refresh_token。 
然后在expire_in到期的时候,通过refresh_token获得新的access_token,expire_in,与refresh_token。 
refresh_token也有过期时间,当refresh_token过期的时候,则需要用户重新授权登录。 
注意: 
refresh_token只有在用户长期没有请求的情况下才会过期,因为每次请求token都会获得新的值。

那么这里有个风险:基本上,黑客一旦获得用户的access_token与refresh_token,而且用户之后的一段时间都没有更新,或者不再用这个app了,那么黑客就可以一直以用户的身份进行一些访问。 
当然,如果用户在别的地方再次通过用户名密码登录的话,则原来的access_token与refresh_token自然失效。

进而想到,为了防止一次泄露,造成一段时间内的账户不安全,app客户端应该在后台自动定时用refresh_token请求新的token值。这样,token及时变更,旧token有效时间减少,安全性也可得到一定的提高。

参考文章: 
http://blog.youkuaiyun.com/wenlei_zhouwl/article/details/7256082 
http://www.cnblogs.com/dudu/p/oauth-refresh-token.html

Flask 学习-27.flask_jwt_extended插件学习current_user的使用
qq_27371025的博客
09-02 889
flask_jwt_extended 最基本的使用只需要掌握三个函数: - create_access_token() 用来创建 Token 令牌 - get_jwt_identity() 用来根据令牌取得之前的 identity 信息 - jwt_required() 这是一个装饰器,用来保护 flask 节点
Flask 学习-28.flask_jwt_extended插件 JWT 中存储额外数据(additional_claims)
qq_27371025的博客
09-02 438
在访问令牌中存储其他信息,以后可以在受保护的视图中访问这些信息。这可以使用additional_claims 带有create_access_token()or create_refresh_token()函数的参数来完成。 get_jwt() 函数在受保护的路径中获取额外的数据。
Token设计:Access Token和Refresh Token
常备不懈
08-07 2377
在现代Web应用中,身份验证和授权是确保安全性的关键部分。Access Token和Refresh Token是用于这一过程的重要组件。
token三验证(Refresh Token 机制​)
最新发布
asom12的博客
06-17 1146
解决单token带来的风险问题
accessToken 和 refreshToken区别
Mr.绵羊的知识星球
09-01 3301
accessToken和refreshToken关联和区别
Access Token Refresh Token
daobuxinzi的博客
02-09 3261
  access token 是在 Oauth2.0 协议中,客户端访问资源服务器的令牌(其实就是一段全局唯一的随机字符串)。拥有这个令牌代表着得到用户的授权。它里面包含哪些信息呢?答案是:   哪个用户 在什么时候 授权给哪个客户端 去做什么事情   对于 Oauth2.0 不了解的读者,请看我的另一篇文章:简单介绍 Oauth2.0 原理   这个授权是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个...
access_token VS refresh_token
RayPick的博客
11-29 6727
众所周知, 在 OAuth 2.0 授权协议中, 有两个令牌 token , 分别是 access_token 和 refresh_token, 为什么已经有了 access_token, 还需要 refresh_token 呢? 我们先看下面两者的介绍 access_token 访问令牌, 它是一个用来访问受保护资源的凭证 refresh_token 刷新令牌, 它是一个用来获取access token的凭证 下面是 OAuth 2.0 中的 token 工作流程图 回归主题, 这两个令牌的主要区别如下
Flask-JWT重刷
黄雄进
12-10 1472
JWT重刷 access_token如果设为一直有效,无法防止用户盗用 access_token有过期时间,如果过期了,让用户重新登录有时候感受不太好 我们需要一个为已登录用户重新刷新access_token的机制 一种方式是将过期时间配置的长一点,配置JWT ACCESS TOKEN过期时间 (默认是15分钟) # JWT ACCESS TOKEN过期时间(单位秒) JWT_ACCESS_TOK...
JWT之token机制token详解
qq_41634455的博客
01-13 1万+
token机制 何为tokentoken即为令牌,是服务器生成的一串字符串,作为客户端向服务器进行请求的“通行证”。在客户端进行初次登陆后由服务器返回,之后的每次请求只需要携带token进行请求即可,而无需携带密码等敏感信息 为何token token可以减少敏感信息在网络间的传递 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用 JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息 便于传输,jwt的构成非常简单
Go实战--golang中使用JWT(JSON Web Token)
热门推荐
一蓑烟雨任平生 也无风雨也无晴
07-18 15万+
生命不止,继续 go go go !!!之前写过关于golang中如何使用cookie的博客: 实战–go中使用cookie今天就来跟大家简单介绍一下golang中如何使用token,当然是要依赖一下github上的优秀的开源库了。首先,要搞明白一个问题,token、cookie、session的区别。token、cookie、session的区别Cookie Cookie总是保存在客户端中,按
access_token,refresh_token的关系
wormtown的博客
09-03 782
问:为啥有access_token还要有refresh_token 答:因为要兼顾安全性和用户体验,access_token设置超时时间,保证安全性,用refresh_token保证用户体验。 问:什么时候会用refresh_token去刷新access_token 答:refresh_token超时时间设置大于access_tokenaccess_token失效后,refresh_token还没有失效,这时候用户活跃操作就会触发refresh_token刷新access_token,这样就可以保证
`AccessToken`和`RefreshToken`安全令牌
qq_31532979的博客
06-04 2230
`AccessToken`和`RefreshToken`安全令牌
access_token和refresh_token的区别
u014596024的博客
11-11 4461
access_token是调用授权关系接口的调用凭证,由于access_token有效期(目前为2个小时)较短,当access_token超时后,可以使用refresh_token进行刷新,access_token刷新结果有两种: 1. 若access_token已超时,那么进行refresh_token会获取一个新的access_token,新的超时时间; 2. 若access_token未超时,那么进行refresh_token不会改变access_token,但超时时间会刷新,相当于续期access_
pyjwt access_token vs fresh_token
lein_wang的专栏
08-01 424
所以,refresh的作用就是在refresh_token有效时间内,每次请求refresh都会返回给你新的access_token,这样就不用重新登录了。当然请求refresh时,header里还是要带上access_token的,form里加上refresh。当然,每次当access_token过期的时候,理论上可以每次都重新登录(用户会打人的。accesstoken过期时间短(5分钟),fresh_token过期时间长(24小时)...
APP使用token和refreshToken实现接口身份认证,保持登录状态
E=mc²
07-08 1万+
目录 一.问题 二.实现思路 三.遇到的坑 1.同一用户并发刷新Token 2.服务端已经产生了新的Token后,但并发过来的请求还在用老的Token请求数据 四.附件 一.问题 App 安装后,第一次启动时需要登录(在某些页面提示需要登录或者直接启动在登录界面)。而只要登录成功后,就不需要每次启动时再次登录。不过,当你的 App 长期未启动,再次启动时,就需要登录。这个是怎么实...
无感刷新token(requestFreshToken
weixin_44152684的博客
07-09 598
无感刷新token(requestFreshToken
【Python开发】FastAPI 07:Depends 依赖注入
尹煜的博客
06-04 7645
依赖注入是一种设计模式,用于降低程序组件之间的耦合度。它通过将组件之间的依赖关系从代码中分离出来,使得组件可以更加灵活地被替换、修改或重用。假设有一个类A需要使用类B的功能,如果在A类中直接实例化B类,那么A类和B类之间的依赖关系就会很紧密,难以达到解耦的目的。而使用依赖注入的方式,A类不再直接实例化B类,而是将B类的实例通过构造函数、属性、或者接口等方式注入到A类中。共享业务逻辑(复用相同的代码逻辑)共享数据库连接实现安全、验证、角色权限等……上述场景均可以使用依赖注入。
关于token和refresh token
米粒人生
06-26 1万+
最近在做公司的认证系统,总结了如下一番心得。传统的认证方式一般采用cookie/session来实现,这是我们的出发点。1.为什么选用token而不选用cookie/session?本质上token和cookie/session都是字符串,然而token是自带加密算法和用户信息(比如用户id),;而cookie本身不包含用户信息,它指向的是服务器上用户的 session,而由session保存用户...
apifox验证token
04-26
### 如何在 Apifox 中验证 Token 在 Apifox 中,可以通过编写预请求脚本来实现对 API 请求中的 `Token` 进行验证。这通常用于确保每次发送请求时使用的 `Token` 是有效的,并且可以动态更新或校验其状态。 以下是具体方法: #### 使用 Pre-request Script 验证 Token 的有效性 Apifox 提供了强大的脚本功能来支持开发者自定义逻辑操作。通过 **Pre-request Script**(预请求脚本),可以在实际发起 HTTP 请求之前执行一段 JavaScript 脚本来完成诸如 Token 校验的任务[^1]。 如果当前存储的 `Token` 已经过期或者无效,则可以根据业务需求重新获取新的 `Token` 并保存到环境变量中以便后续调用。 下面是一个简单的例子展示如何利用 `pm.sendRequest()` 函数向服务器端查询现有 `Token` 是否仍然有效;如果不合法则尝试刷新它: ```javascript const currentToken = pm.environment.get("auth_token"); // 获取环境变量 auth_token 值 // 定义一个函数用来检查 token 是否有效 function checkTokenValidity(token) { const url = "https://example.com/api/check-token"; // 替换为真实的接口地址 let reqOptions = { method: 'POST', header: { Authorization: `Bearer ${token}` }, body: {} }; pm.sendRequest({url, ...reqOptions}, (err, res) => { if (!err && res.code === 200 && JSON.parse(res.text()).isValid) { console.log('Current token is valid.'); } else { refreshAccessToken(); // 如果无效就触发刷新流程 } }); } // 当前 token 失效后的处理机制 - 刷新 access token function refreshAccessToken() { const refreshTokenUrl = "https://example.com/api/refresh-access-token"; pm.sendRequest(refreshTokenUrl, function(err, response){ if(!err && response.json().new_access_token){ var newAccessToken = response.json().new_access_token; // 更新全局配置里的 token 字段 pm.environment.set("auth_token", newAccessToken); console.log(`Access token refreshed successfully! New value=${newAccessToken}`); }else{ throw Error("Failed to obtain a fresh access token."); } }); } checkTokenValidity(currentToken); // 执行初始检测过程 ``` 以上代码片段展示了两个主要部分: 1. **`checkTokenValidity`**: 向指定的服务端 URL 发送 POST 请求以确认给定的 `Token` 是否处于活动状态。 2. **`refreshAccessToken`**: 若发现原 `Token` 不再适用,则联系授权服务生成一个新的替代品并将其存入相应的环境设置里。 注意:上述示例仅作为指导用途,请根据实际情况调整具体的网络路径以及数据结构等内容。 --- ### 注意事项 - 确保所依赖的身份认证方案遵循 OAuth 或其他标准协议的要求。 - 对敏感信息采取加密措施保护传输安全。 - 测试阶段建议模拟不同场景下的行为表现,比如正常续签 vs 强制登出等情况。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值