ACCESS_TOKEN与FRESH_TOKEN

最新推荐文章于 2025-07-08 05:15:00 发布
原创 最新推荐文章于 2025-07-08 05:15:00 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了OAuth2.0中的刷新令牌(refresh_token)机制,解释了其如何增强系统的安全性,并讨论了使用刷新令牌的风险及防范措施。

OAuth1.0中的access_token过期时间通常很长,安全性差。于是OAuth2.0推出了refresh_token。

OAuth2.0中,客户端用账户名,密码经过一定方式(比如先请求code),获得ACCESS_TOKEN,expire_in与refresh_token。 
然后在expire_in到期的时候,通过refresh_token获得新的access_token,expire_in,与refresh_token。 
refresh_token也有过期时间,当refresh_token过期的时候,则需要用户重新授权登录。 
注意: 
refresh_token只有在用户长期没有请求的情况下才会过期,因为每次请求token都会获得新的值。

那么这里有个风险:基本上,黑客一旦获得用户的access_token与refresh_token,而且用户之后的一段时间都没有更新,或者不再用这个app了,那么黑客就可以一直以用户的身份进行一些访问。 
当然,如果用户在别的地方再次通过用户名密码登录的话,则原来的access_token与refresh_token自然失效。

进而想到,为了防止一次泄露,造成一段时间内的账户不安全,app客户端应该在后台自动定时用refresh_token请求新的token值。这样,token及时变更,旧token有效时间减少,安全性也可得到一定的提高。

参考文章: 
http://blog.youkuaiyun.com/wenlei_zhouwl/article/details/7256082 
http://www.cnblogs.com/dudu/p/oauth-refresh-token.html

Flask 学习-27.flask_jwt_extended插件学习current_user的使用
qq_27371025的博客
09-02 939
flask_jwt_extended 最基本的使用只需要掌握三个函数: - create_access_token() 用来创建 Token 令牌 - get_jwt_identity() 用来根据令牌取得之前的 identity 信息 - jwt_required() 这是一个装饰器,用来保护 flask 节点
Flask 学习-28.flask_jwt_extended插件 JWT 中存储额外数据(additional_claims)
qq_27371025的博客
09-02 472
在访问令牌中存储其他信息,以后可以在受保护的视图中访问这些信息。这可以使用additional_claims 带有create_access_token()or create_refresh_token()函数的参数来完成。 get_jwt() 函数在受保护的路径中获取额外的数据。
accessToken 和 refreshToken区别
Mr.绵羊的知识星球
09-01 3683
accessToken和refreshToken关联和区别
Access Token Refresh Token
daobuxinzi的博客
02-09 3448
  access token 是在 Oauth2.0 协议中,客户端访问资源服务器的令牌(其实就是一段全局唯一的随机字符串)。拥有这个令牌代表着得到用户的授权。它里面包含哪些信息呢?答案是:   哪个用户 在什么时候 授权给哪个客户端 去做什么事情   对于 Oauth2.0 不了解的读者,请看我的另一篇文章:简单介绍 Oauth2.0 原理   这个授权是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个...
Token设计:Access Token和Refresh Token
常备不懈
08-07 2812
在现代Web应用中,身份验证和授权是确保安全性的关键部分。Access Token和Refresh Token是用于这一过程的重要组件。
access_token VS refresh_token
RayPick的博客
11-29 6855
众所周知, 在 OAuth 2.0 授权协议中, 有两个令牌 token , 分别是 access_token 和 refresh_token, 为什么已经有了 access_token, 还需要 refresh_token 呢? 我们先看下面两者的介绍 access_token 访问令牌, 它是一个用来访问受保护资源的凭证 refresh_token 刷新令牌, 它是一个用来获取access token的凭证 下面是 OAuth 2.0 中的 token 工作流程图 回归主题, 这两个令牌的主要区别如下
token过期 如何使用refresh_token实现无感刷新页面?
qq_43474235的博客
11-13 1795
token过期 如何使用refresh_token实现无感刷新页面?
Flask-JWT重刷
黄雄进
12-10 1491
JWT重刷 access_token如果设为一直有效,无法防止用户盗用 access_token有过期时间,如果过期了,让用户重新登录有时候感受不太好 我们需要一个为已登录用户重新刷新access_token的机制 一种方式是将过期时间配置的长一点,配置JWT ACCESS TOKEN过期时间 (默认是15分钟) # JWT ACCESS TOKEN过期时间(单位秒) JWT_ACCESS_TOK...
@task(name="[套餐模块]预约高清图") def book_hd_photo_task(cloud_photo_id: int): """ 任务层:封装预约高清图的逻辑,并区分业务成功、业务失败和系统错误。 Args: cloud_photo_id (int): 云相册图片ID。 Returns: dict: 如果预约因业务原因失败(如权益不足),返回错误信息字典。 bool: 如果预约成功,返回 True。 Raises: RuntimeError: 当API调用因网络或系统问题(如超时、服务器错误)失败时抛出。 """ logger = get_run_logger() logger.info(f" (套餐模块) 正在预约高清图,ID: {cloud_photo_id}...") current_access_token = get_fresh_user_token() try: # 调用API层 api_result = call_book_hd_photo_api(current_access_token, cloud_photo_id) # 只有在HTTP状态码为2xx(特别是204)时,代码才会执行到这里 # api_result 会是 {} logger.info(f" (套餐模块) 预约高清图成功,ID: {cloud_photo_id}") return api_result except requests.exceptions.HTTPError as e: # 这是最关键的部分:处理4xx/5xx错误,其中包含了业务错误 # 我们尝试从中解析JSON错误信息 error_details = {"code": "UNKNOWN_API_ERROR", "message": "无法解析API错误响应"} try: if e.response is not None: if e.response.text: error_details = e.response.json() else: error_details["message"] = f"API返回错误状态码: {e.response.status_code},但无响应体" except json.JSONDecodeError: # 如果不是JSON,就当作文本处理 if e.response is not None: error_details["message"] = e.response.text else: error_details["message"] = str(e) logger.warning(f" (套餐模块) 预约高清图失败,API返回业务错误,ID: {cloud_photo_id}。错误信息: {error_details}") return error_details except requests.exceptions.RequestException as e: # 处理网络层错误,如超时、连接失败等 error_msg = f"预约高清图任务失败,网络或系统错误: {e}" logger.warning(error_msg) raise RuntimeError(error_msg) from e except Exception as e: # 捕获任何其他未预期的异常 error_msg = f"预约高清图任务发生未知异常: {e}" logger.warning(error_msg, exc_info=True) raise RuntimeError(error_msg) from e 帮我解释这段代码
最新发布
12-25
以下是对给定代码的功能和逻辑分析: ```python try: if e.response is not None: if e.response.text: error_details = e.response.json() else: error_details["message"] = f"API返回错误状态码: {e....
access_token,refresh_token的关系
wormtown的博客
09-03 858
问:为啥有access_token还要有refresh_token 答:因为要兼顾安全性和用户体验,access_token设置超时时间,保证安全性,用refresh_token保证用户体验。 问:什么时候会用refresh_token去刷新access_token 答:refresh_token超时时间设置大于access_tokenaccess_token失效后,refresh_token还没有失效,这时候用户活跃操作就会触发refresh_token刷新access_token,这样就可以保证
`AccessToken`和`RefreshToken`安全令牌
qq_31532979的贺公子之数据科学与艺术博客,致力于科技向善,拥抱开源,要用技术的影响力来领导团队,而不是威权和职位!
06-04 2504
`AccessToken`和`RefreshToken`安全令牌
每日一博 - 基于 Access Token 和 Refresh Token实现无感刷新
小工匠
07-08 1509
Token机制实现安全无感刷新方案 摘要: 双Token机制采用Access Token(短期有效)和Refresh Token(长期有效)的组合方案。用户登录时获得两个TokenAccess Token用于接口鉴权,Refresh Token用于Token刷新。当Access Token过期时,客户端自动使用Refresh Token请求新Token,实现无感刷新。该方案通过拦截器实现过期检测(返回511状态码)和自动刷新,并考虑安全防护(HttpOnly、防重放)和性能优化(并发控制)。服务端需验证
access_token和refresh_token的区别
u014596024的博客
11-11 4626
access_token是调用授权关系接口的调用凭证,由于access_token有效期(目前为2个小时)较短,当access_token超时后,可以使用refresh_token进行刷新,access_token刷新结果有两种: 1. 若access_token已超时,那么进行refresh_token会获取一个新的access_token,新的超时时间; 2. 若access_token未超时,那么进行refresh_token不会改变access_token,但超时时间会刷新,相当于续期access_
pyjwt access_token vs fresh_token
lein_wang的专栏
08-01 450
所以,refresh的作用就是在refresh_token有效时间内,每次请求refresh都会返回给你新的access_token,这样就不用重新登录了。当然请求refresh时,header里还是要带上access_token的,form里加上refresh。当然,每次当access_token过期的时候,理论上可以每次都重新登录(用户会打人的。accesstoken过期时间短(5分钟),fresh_token过期时间长(24小时)...
APP使用token和refreshToken实现接口身份认证,保持登录状态
热门推荐
E=mc²
07-08 1万+
目录 一.问题 二.实现思路 三.遇到的坑 1.同一用户并发刷新Token 2.服务端已经产生了新的Token后,但并发过来的请求还在用老的Token请求数据 四.附件 一.问题 App 安装后,第一次启动时需要登录(在某些页面提示需要登录或者直接启动在登录界面)。而只要登录成功后,就不需要每次启动时再次登录。不过,当你的 App 长期未启动,再次启动时,就需要登录。这个是怎么实...
jwt,accesstoken、refresh token详解
qq_37704442的博客
02-24 5504
jwt,accesstoken、refresh token详解
无感刷新token(requestFreshToken
weixin_44152684的博客
07-09 623
无感刷新token(requestFreshToken
访问令牌(AccessToken刷新令牌(RefreshToken
昨夜丶雨疏风骤的博客
05-15 1万+
源码点我 闲着无聊的我又来了,今天介绍一下访问令牌(AccessToken刷新令牌(RefreshToken)。 最近公司来了几个Java,然后空气顿时充满了学术的氛围,每天都弥漫着垃圾回收,内存分配,堆栈等等各种技术问题的讨论,竖起了我的小耳朵,我偶然间听到了这个Token过期的问题,今天来说一说。 众所周知,JWT是我们常用的Token类型之一,但是JWT是无状态的,所有的信息,包括超时时间都会编码在JWT中。如果Token设置的超时时间过长会显得有些不安全,如果设置的过短则必须频繁的登录。 在Id
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值