OAuth2有了token为啥还要refresh token

最新推荐文章于 2025-02-15 14:45:54 发布
最新推荐文章于 2025-02-15 14:45:54 发布
阅读量1k 收藏 1
点赞数
文章标签: 服务器 java tomcat maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_27210677/article/details/129197118
版权
OAuth2是一种授权框架,允许第三方应用在用户授权下访问受保护资源,无需知道用户凭证。该过程涉及资源持有者、客户端、授权服务器和资源服务器。accesstoken用于访问资源,而refreshtoken则用于更新过期的accesstoken,避免重复用户授权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、OAuth2

  1. OAuth2简介

  1. OAuth2是一种授权框架,用于允许第三方应用程序(客户端)在不知道用户的凭证(例如用户名密码)的情况下,访问受保护的资源(比如用户的个人信息,通讯录等)。

  1. OAuth2协议包含的角色

  1. 资源持有者:拥有受保护资源的用户

  1. 客户端:请求访问受保护资源的应用程序

  1. 授权服务器:验证资源持有这会儿、授予客户端访问令牌的服务器

  1. 资源服务器:存储收保护资源的服务器,只允许访问令牌来保护资源

  1. OAuth协议通常包括以下步骤,如下图OAuth2协议流程图所示:

  1. 请求获取访问令牌

  1. 客户端发出授权请求

  1. 授权服务区向资源服务器发出授权请求

  1. 资源服务器同意授权

  1. 授权服务器颁发令牌给客户端

  1. 根据访问令牌访问受保护资源

  1. 客户端使用访问令牌向资源服务器发起 访问(受保护资源)

  1. 资源服务器验证令牌并返回受保护资源

  1. 用户授权的含义是?

  1. 用户授权就是指用户允许一个应用程序或服务访问其受保护的资源(例如个人信息、通讯录等)的过程

  1. 在OAuth2授权框架中,access token 、refresh token授权认证的令牌,但他们的作用是不同的。

二、access token

access token 就是普通理解的token,用于唯一身份的标识,每次在请求后端,访问受保护的资源时,比如用户的个人信息,通讯录等,需要通过access token令牌来 访问受保护的资源。

三、refresh token

refres token是用于更新access token的令牌,因为access token 的过期时间较短,当access token 过期时,客户端需要通过refresh token 获取欣的access token。这样做的好处是避免了再次请求用户授权。

四、举例说明

access token 就像一把钥匙,想进门,就需要这把钥匙。而refresh token 就像一个钥匙管家,如果想要换开门的钥匙,就可以直接通过refresh token 换一个access token。这样一来,在access token失效时,不需要去找主人重新确认一遍主人就是这个房子的主人,才给配一把新的access token钥匙。而是直接找管家 refresh token,换一把accesstoken就好了。

芳华依存
关注
OAuth2中 access_tokenrefresh_token的各类配置与使用场景FAQ
weixin_45738731的博客
05-17 3927
过去几年的OAuth2经历与使用,总结一下,记录有关 access_token, refresh_token的各类配置与场景适应,到此以自问自答的形式把这些琐碎的点总结下来。说明:以下问答中的截图或表等信息以中配置为参考。
oauth2如何refreshToken
m0_46190243的博客
09-29 5221
oauth2如何refreshToken? post请求,跟请求token一样的url地址:http://localhost:9098/oauth/token post需要的参数: grant_type :refresh_token” client_id:分配的客户端id client_secret:分配的客户端密码 refresh_token:值为上一次请求返回值中"refresh_token 实例如下所示 oauth2配置文件需要设置支持refreshToken @Override pu
Android OkHttp实现全局过期token自动刷新示例
01-20
问题 一次面试遇到的一个问题,其实也是实际开发中很容易遇到的问题,特此记录一下。 当请求某个接口的时候,我们会在请求的header中携带token消息,但是发现token失效,接口请求报错,怎么马上刷新token,然后重复请求方才那个接口呢?这个过程应该说对用户来说是无感的。 这个过程用流程图可以这样表示: 自动更新token流程 要实现上述需求的话,大家会如何实现呢? 首先讲一下Token和Cookie吧 – cookie cookie是保存在本地终端的数据。cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该co
什么是access tokenrefresh token?
最新发布
weixin_45799605的博客
02-15 272
什么是access tokenrefresh token?
OAuth2.0用refresh_token更新access_token令牌
张俊杰 的博客
02-07 7419
概述 使用oauth2时,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。只需修改认证服务器的配置,添加refresh_token的授权模式即可。 修改授权服务器配置,增加refresh_token配置 ​ @Autowired private UserService userService; @Override public void configure(AuthorizationServerEndpointsConfigurer endpoint
OAuth2.0的refresh token
wenlei_zhouwl的专栏
02-13 4万+
转载自http://www.html-js.com/?p=1297 最近看人人网的OAuth认证,发现他是OAuth2.0,之前一直看的是新浪的OAuth,是OAuth1.0. 二者还是有很多不同的,主要的不同点在access token的获取方式. OAuth1.0的access token获取过来之后,就可以存到数据库里,然后长期使用,因为它有效期很长,通常有效期
OAuth 2.0 中的 refresh_token 和它的重要性
AI天才研究院
12-27 2049
1.背景介绍 OAuth 2.0 是一种授权机制,它允许第三方应用程序访问用户的资源,而无需获取用户的凭据。这种机制通常用于在网络上进行身份验证和授权。在 OAuth 2.0 中,refreshtoken 是一种特殊类型的访问令牌,用于在访问令牌过期之前重新获得新的访问令牌。在本文中,我们将讨论 refreshtoken 的重要性,以及如何在 OAuth 2.0 中实现它。 2.核心概念与联系...
oauth2.0授权协议中刷新令牌refresh token的工作原理及生命周期分析
u013905744的专栏
12-16 1万+
在学习oauth2.0协议的时候,对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌,以及刷新令牌是如何工作的,技术细节是啥?比如通过refresh token可以让access token永久不过期吗? 下面就针对这两个问题进行分析。 为什么需要刷新令牌 如果access token超时时间很长,比如14条,由于第三方软件获取受保护资源都要带着access token,这样access token的攻击面就比较大。 如果access token超时时间很短,比如1个小时,那其超时之后
OAuth 2.0 中,refreshToken(刷新令牌)存在的意义
qq_41893505的博客
12-06 1841
它允许客户端在不频繁请求用户授权的情况下,安全地获取新的 accessToken,从而实现短生命周期令牌的安全管理和长期会话的维持。在 OAuth 2.0 中,refreshToken(刷新令牌) 的主要目的是为了提升用户体验和安全性,同时确保访问令牌的有效性。通过 refreshToken,客户端不需要频繁请求用户授权,减少了授权服务器需要进行用户身份验证的频率,从而降低了服务器的负载。访问令牌(accessToken) 的有效期一般较短,通常是几分钟到几个小时。但是,短有效期可能会对用户体验造成影响。
spring security oauth2refresh token
崔向阳@李晓的博客
07-04 1万+
oAuth2.0认证服务器生成的Access_token是有有效期限制的默认为12个小时,refresh_token默认为三十天。如果Access_token提示过期,可以根据refresh_token获取新的Access_token 下面介绍如何生成refresh_token,并根据refresh_token获取新的Access_token: authorizedGrantTypes oa...
OAuth2获取token报错invalid stream header
12-14
记一次异常解决:OAuth2获取token...检查需要创建的OAuth2的几张表:oauth_access_tokenoauth_approvals、oauth_client_details、oauth_client_tokenoauth_code、oauth_refresh_token 这几张表的字段类型一定要设
oauth2-token-manager:生成、验证和刷新 OAuth2 令牌。 代币兑换码。 不承担任何特定的代币存储
06-17
特征 没有关于令牌存储类型的假设。 您可以存储与发布的令牌相... assert.ok(obj.refreshToken); }); 代币兑换码 tokenManager .exchange(exchangeCode, redirectUri) .then(function(obj){ assert.ok(obj.acc
oauth2 java 获取token_基于SpringBoot整合oauth2实现token认证
weixin_42363231的博客
02-13 1568
这篇文章主要介绍了基于SpringBoot整合oauth2实现token 认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下session和token的区别:session是空间换时间,而token是时间换空间。session占用空间,但是可以管理过期时间,token管理部了过期时间,但是不占用空间.sessionId失效问题和token内包含。...
spring security oauth2 自动刷新续签token (refresh token)
热门推荐
m0_37834471的博客
10-20 6万+
1.引言 前提:了解spring security oauth2的大致流程(对过滤器的内容有一定的了解) 主要思路: 首先用过期token访问受拦截资源 认证失败返回401的时候调用异常处理器 通过异常处理器结合refresh_token进行token的刷新 刷新成功则通过请求转发(request.getRequestDispatcher)的方式再次访问受拦截资源 2.源码分析核心过滤器...
OAuth2.0 - 刷新令牌
A_991128a的博客
01-12 2042
刷新令牌是用于获取访问令牌的凭据。刷新令牌由授权服务器颁发给客户端,用于在当前访问令牌失效或过期时获取新的访问令牌,或者获取具有相同或更窄范围的附加访问令牌(访问令牌可能具有更短的范围)生命周期和少于资源所有者授权的权限)。颁发刷新令牌是可选的,由授权服务器决定。因为刷新令牌通常是用于请求额外的访问令牌的持久凭证,刷新令牌绑定到被它被颁发给的客户端。如果通过客户端凭证模式,建议选定其他的身份验证。的过期时间保存下来,每次调用平台方的业务。进行一下时间判断,如果过期则执行刷新。如果过期就只能让用户重新授权。
为什么 OAuth 里除了 Access Token 之外,还需要 Refresh Token
Java和Android架构
08-18 936
上一篇:用 Arthas 定位 Spring Boot 接口的超时问题,让应用起飞~问题:我有一个与 YouTube Live Streaming API 集成的程序。我以每 50 分钟的时间间隔,使用刷新令牌(refresh token)获取一个新的访问令牌(Access Token)。我的问题是,为什么 OAuth 要设计双重 token?当我通过 YouTube 进行身份验证时,它给了我一个...
【SSO单点登录】JWT续签问题 && OAuth2.0 中的refreshToken刷新机制
老男孩的架构路
10-14 2448
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端,前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这里就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端需要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token里边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
OAuth2刷新令牌测试工具:refreshtoken_tester使用指南
资源摘要信息:"refreshtoken_tester是一个专门为OAuth2协议设计的刷新令牌测试仪。OAuth2是互联网上广泛使用的一种授权框架,它允许应用程序通过第三方服务来获取有限的访问权限。在OAuth2协议中,刷新令牌是用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值