[36期]小感略记

最新推荐文章于 2024-06-21 17:04:10 发布
最新推荐文章于 2024-06-21 17:04:10 发布
阅读量377 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: IT职场
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lampzdrj/article/details/10596495

       进入兄弟连一个多月了,写点什么东西来纪念一下吧,纪念第一个项目的开始,虽然和项目没什么关系...

来到这里,给我感触最深的是张晓光张老师说的关于学习欲望。过去是被动式的学习,接受的是填鸭式的教育,老师教什么,然后学什么...很被动,学习效率很低!小孩子学习新的事物总是很快的,为什么?因为只有他感兴趣了,才想要去了解,去学习,所以学的就非常的快,哪怕是失败了,也不会丧气灰心。成功了就欣喜若狂...所以,先问问你自己,你对PHP有兴趣么?想要学好么??有信心把它学好么???

转变我们的思想,对PHP知识抱有强烈的求知欲!或许学习中有困难,或许代码中有错误,或许想法不能实现...但请不要放弃,坚持下去,踏实认真的走下去,你会看到自己想要的结果!

最后预祝各位同学顺利完成项目,交给自己一个满意的答复!
为了美好的明天努力吧!Fighting...

原文地址:http://bbs.lampbrother.net/read-htm-tid-112616.html

阅读(88) | 评论(0) | 转发(0) |
0

上一篇:[37期]走到人生最精彩的部分

下一篇:[36期]项目小感想

相关热门文章
给主人留下些什么吧!~~
评论热议
42、医疗记录隐私保护:挑战与解决方案
mm9012的博客
06-17 18
本博文深入探讨了医疗记录隐私保护所面临的挑战与可能的解决方案。文章分析了主动攻击对数据库安全的威胁,以及批量添加删除记录等应对策略。通过冰岛医疗数据库等案例,讨论了患者同意在医疗研究中的关键作用。同时,文章指出去识别化虽然能降低隐私风险,但无法提供完全保护,并可能导致任务蔓延问题。此外,还探讨了不同国家医疗支付方式对隐私的影响,揭示了单点故障风险和隐私政策制定中的利益平衡难题。随着基因信息的应用增加,隐私模型还需进一步扩展以应对新挑战。
儒略历 / 儒略日 | 起源 / 演变 / 计算 / 转换
u013669912的博客
07-14 1万+
……
【书影观后 十三】甲申三百七十八年祭
MaoLin Tian's Blog
06-18 1807
耗时半年有余,断断续续读完了姚雪垠先生耗尽一生心血写就的330万言巨著《李自成》,思绪万千、百交集,想来不得不罗缕片言以彰此刻的心情。至于题目便模仿郭沫若先生于1944年那个特殊时间发表的《甲申三百年祭》吧,甲申延年,后人哀之,若后人哀之而不鉴之,则使后人复哀后人矣。...............
支持二级汉字的 php 汉字助记码生成
热门推荐
05-08 4万+
gbk2312 编码范围共94区, 0-55区为一级汉字, 是按照拼音顺序排列的, 可以按照编码区间确定汉字的拼音, 但是 56 区以后是按笔画顺序排列的, 所以只能用对照表来确定拼音 鉴于目前我找不到现成的代码, 固整理了一份, 测试可用. /** * PHP 汉字转拼音 * echo CUtf8_PY::encode('字符串'); //编码为拼音首字母 * echo CUtf8_P...
Vue.js开发微信小程序:开源框架mpvue解析
树懒的博客
01-24 1899
年底了,手头工作要忙,下季度计划要忙,学习要忙。。。。 反正各种原因吧,停更了一段时间。。 今天也是转载一片最近在学习的东西——小程序,入门博文。 以后技术方面的博文可能就偏向于小程序或者前端了。 另外也会加一点其他的乱七八糟的问题,比如产品,比如投资理财。。 总之最近学习的东西挺多,但都只是输入,但总是输入,没有输出,还是很难记住东西的。 所以今后会保证输入->思考->输出这样的节奏...
【奋斗人生】心得日记(20191112至20191230)
summer
12-16 3401
养成写日记的习惯,将平日所看、所学、所,记载、反思、串联起来。希望可能找寻一份内心的平静和充实。
2024097传足14场胜负前瞻
dacaihong168的博客
06-21 1556
尽管土耳其前场球员展现出的青春活力和出色表现令球迷们倍惊喜,但在葡萄牙的首场比赛中,他们凭借补时成功拿下3分,全队士气得到了显著提升。然而,在近4轮的交锋中,哥伦布队仅取得了3场平局和1场负局的成绩,并未展现出明显的优势。此次,纽约城队将迎来一场与重返胜轨的纳舒维尔SC队的较量,对于球队而言,能够在这场比赛中抢下1分已属不易,可谓完成了任务。本14场难度中等。鉴于双方近表现均不尽如人意,且双方在过往交锋中亦呈现势均力敌之态势,因此,对于两队今日之战,不妨预测双方将达成和解,以握手言和的方式结束此役。
西游记泥潭指南
zhangwenwu2的博客
11-02 1万+
第一章第二节:西游记主题 盘古开辟,三皇治世,五帝定伦,世界之间,遂分为四大部洲: 曰东胜神洲,曰西牛贺洲,曰南赡部洲,曰北俱芦洲。一日,如 来佛祖于灵山大雷音宝刹唤聚诸佛、阿罗、揭谛、菩萨、金刚、 比丘僧、尼等大开“盂兰盆会”。言及四大部洲众生善恶,独忧 南赡部洲之众贪淫乐祸,多杀多争,恐堕不复之境。言有三藏真 经,可以劝人为善。需有高士苦历千山,询经万水,求取真经, 以传
记一次m38u列表和ts文件的视频爬虫小实战
咪哥杂谈
03-02 4207
咪哥杂谈本篇阅读时间约为 7 分钟。1前言本想着这周给大家分享一下,如何制作恐怖片的屏幕跳字(Python模拟实现),结果在找原来看过的恐怖片视频素材的时候,发现网站并没有提供直接的下载...
一个小兔子的大数据见解1
weixin_42224258的博客
02-20 6402
离线阶段    刚去公司的时候,做数据的迁移,写sqoop脚本,(注意:这里可能会问到sqoop增量导入数据的方式式,一般会用到append追加的模式)把数据从oracle数据库导入到hive当中(注意:      a.这里我们使用是shell脚本的方式,写完以后提交到oozie或azkaban这种调度工具上定时执行。b.这里有技术的问题,实际上把数据放到hive中是放到了hadoop的hdfs...
35kV电流互器试验报告.doc
10-06
六、一次和二次线圈直阻测量:一次线圈直阻在ABC三相中略有差异,但误差均在允许范围内。二次线圈直阻也进行了测量,确保了电流转换的精度。 七、检测设备和环境:报告列举了所用的检测设备及其有效,如电摇表、...
二维码 google zxing.zip
09-12
二维码 google zxing.zip
机器学习MATLAB,由Packt出版_MATLAB for Machine Learning, published b
09-12
机器学习MATLAB,由Packt出版_MATLAB for Machine Learning, published by Packt.zip
利用CameraX和Firebase ML Kit实现二维码读取器.zip
09-12
利用CameraX和Firebase ML Kit实现二维码读取器.zip
安卓二维码扫描器ZXing精简版.zip
09-12
安卓二维码扫描器ZXing精简版.zip
JIGSAW(GEO)的MATLAB绑定——一种用于地球科学建模的非结构化网格生成器。_MATLAB bindings
09-12
JIGSAW(GEO)的MATLAB绑定——一种用于地球科学建模的非结构化网格生成器。_MATLAB bindings for JIGSAW(GEO)_ an unstructured mesh generator for geoscientific modelling..zip
微信支付宝支付二维码生成.zip
最新发布
09-12
微信支付宝支付二维码生成.zip
支付宝PC支付 二维码支付 当面付 扫码支付 退款 以及退款查询.zip
09-12
支付宝PC支付 二维码支付 当面付 扫码支付 退款 以及退款查询.zip
诺基亚jqueryv321例一百零一
09-12
codechsit16-5-1.html
Token刷新机制:通过refreshToken实现无是什么
02-26
<think>好的,我现在需要解释用户提到的“Token刷新机制:通过refreshToken实现无”是什么。用户之前询问了微信小程序手机号短信登录的后端实现,现在想深入理解其中的Token刷新机制。 首先,用户可能已经了解JWT的基本使用,比如生成Token和验证。现在他们想知道如何在不重新登录的情况下延长用户的认证有效,这就是refresh token的作用。我需要确保解释清楚这个概念,以及为什么需要它。 接下来,我得考虑用户可能的背景。他们可能正在开发一个需要用户长时间保持登录的应用,比如移动应用或Web应用,而频繁要求用户重新登录会影响体验。所以,无是关键点,需要强调refresh token如何实现这一点。 然后,我需要解释refresh token的工作原理。通常,访问令牌(access token)有较短的有效,比如几小时,而刷新令牌(refresh token)有效更长,可能几天或几周。当access token过时,客户端使用refresh token请求新的access token,而无需用户再次输入凭证。 用户可能关心安全性问题,比如如何防止refresh token被盗用。我需要提到一些安全措施,比如HTTPS传输、存储安全(如HttpOnly cookies)、refresh token的撤销机制,以及限制使用次数等。 另外,用户可能想知道具体的实现步骤,比如如何在Spring Boot中实现这个机制。虽然用户没有直接问代码,但给出一些实现要点会更好,比如生成两个token、验证refresh token的有效性、黑名单处理等。 还要考虑可能的疑问点,比如为什么不用延长access token的有效来替代refresh token。这时候需要解释安全性的权衡,较短的access token有效减少泄露后的风险,而refresh token的存在使得在保持用户体验的同时提高安全性。 最后,总结一下refresh token机制的优点,比如提升用户体验、增强安全性,以及实现中的注意事项,如安全存储和传输、定更换refresh token等。 可能需要用简单的例子或流程图来帮助理解,但用户目前只需要文字解释。需要确保语言简洁明了,结构清晰,分点说明,让用户容易理解整个过程和关键点。</think>以下是 **Token刷新机制(Refresh Token)** 的详细说明,通过`refreshToken`实现无的核心逻辑和安全设计: --- ### **一、为什么需要Refresh Token?** 1. **安全问题**: Access Token(访问令牌)通常设置较短有效(如2小时),即使泄露,攻击者也只能短暂使用。 2. **用户体验**: 用户无需频繁重新登录,通过Refresh Token自动续Access Token,实现“无知”登录。 --- ### **二、核心流程** 1. **首次登录** - 用户通过验证码登录成功 - 后端返回两个Token: ```json { "accessToken": "xxxx", // 短有效(如2小时) "refreshToken": "yyyy", // 长有效(如7天) "expiresIn": 7200 // Access Token剩余秒数 } ``` 2. **Access Token过后** - 前端检测到Access Token失效 - 携带`refreshToken`请求后端接口 `/token/refresh` - **后端验证refreshToken有效性** → 生成新`accessToken` → 返回新Token 3. **Refresh Token过后** - 用户需要重新登录(如输入密码或短信验证码) --- ### **三、关键安全设计** 1. **存储隔离** - **Access Token**:存客户端内存(如Vuex/React状态),**不持久化** - **Refresh Token**:存安全位置(如HttpOnly Cookie或加密的本地存储) 2. **传输安全** - 所有Token传输必须走HTTPS - Refresh Token接口需额外校验来源IP或设备指纹 3. **刷新限制** - 每个Refresh Token**只能用一次**(刷新后立即失效,生成新Refresh Token) - 限制同一Refresh Token的刷新频率(如5分钟内最多刷新10次) 4. **黑名单机制** - 用户主动登出时,将未过的Refresh Token加入Redis黑名单 - 每次刷新时校验Refresh Token是否在黑名单中 --- ### **四、代码实现示例(Spring Boot)** #### 1. 登录接口返回双Token ```java @PostMapping("/login/sms") public Result login(@RequestParam String phone, @RequestParam String code) { // ...验证码校验逻辑 // 生成AccessToken和RefreshToken String accessToken = JwtUtil.generateToken(user, 7200); // 2小时 String refreshToken = JwtUtil.generateToken(user, 604800); // 7天 // 将refreshToken存入数据库或Redis(关联用户ID) redisTemplate.opsForValue().set("refresh:"+user.getId(), refreshToken, 7, TimeUnit.DAYS); return Result.ok() .put("accessToken", accessToken) .put("refreshToken", refreshToken) .put("expiresIn", 7200); } ``` #### 2. Token刷新接口 ```java @PostMapping("/token/refresh") public Result refreshToken(@RequestParam String refreshToken) { // 1. 解析refreshToken获取用户ID Claims claims = JwtUtil.parseToken(refreshToken); Long userId = Long.parseLong(claims.getSubject()); // 2. 校验Redis中的refreshToken是否匹配 String storedToken = redisTemplate.opsForValue().get("refresh:" + userId); if (storedToken == null || !storedToken.equals(refreshToken)) { throw new SecurityException("无效的Refresh Token"); } // 3. 生成新Token,并使旧Refresh Token失效 String newAccessToken = JwtUtil.generateToken(userId, 7200); String newRefreshToken = JwtUtil.generateToken(userId, 604800); // 更新Redis中的Refresh Token redisTemplate.opsForValue().set("refresh:"+userId, newRefreshToken, 7, TimeUnit.DAYS); return Result.ok() .put("accessToken", newAccessToken) .put("refreshToken", newRefreshToken) .put("expiresIn", 7200); } ``` --- ### **五、附加安全措施** 1. **Refresh Token绑定设备** - 生成时记录设备指纹(如IP+User-Agent哈希值),刷新时校验一致性 2. **自动过清理** - 使用Redis自动过特性,避免长未使用的Refresh Token残留 3. **监控告警** - 检测异常高频刷新请求(如1分钟内刷新10次以上),触发风控拦截 --- ### **六、对比方案** | 方案 | 优点 | 缺点 | |---------------------|--------------------------|------------------------------| | 单纯延长Access Token| 实现简单 | 安全性低,泄露后影响时间长 | | Refresh Token机制 | 安全性高,用户体验好 | 实现复杂度略高 | | 滑动过 | 无 | 需维护会话状态,不适合分布式 | --- 通过这种设计,**用户在Access Token过后无需手动操作**,系统自动完成令牌刷新,同时兼顾了安全性和用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值