关于token的总结和思考——并发访问刷新策略,jwt过期及作废问题

前后端分离与Token认证
最新推荐文章于 2024-11-02 16:14:10 发布
原创 最新推荐文章于 2024-11-02 16:14:10 发布 · 7.7k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

探讨前后端分离项目中Token认证机制,包括Token刷新策略、JWT优缺点及常见问题,对比Cookie-Session机制。

前言:

  最近在尝试做前后端分离的项目,由于之前一直听过token和jwt,似乎在前后端分离中也很常用。于是便了解了一番,结果扯出一大堆问题,折腾了好久,所以想把一些问题和思考记录一下。另外,其实前后端分离若无特殊需求,也不必执着于使用token认证,毕竟这会引发一些问题,未必就比传统cookie-session好。下面逐步讲述。

token刷新策略

     传统的token认证,即以token为令牌(可以是一串uuid),服务端缓存下来,发给客户端。请求时根据请求携带的token来认证用户是否登陆以及取数据等。

     但是token得设置有效期,不然用户就可以一直访问了。特别是如果token被窃取后,不会过期就很麻烦。所以需要设置过期时间。

     而设置token有效期后又引发一个问题,一旦token过期,一般会要求用户重新登陆认证,用户体验差,于是人们想出了隐式地刷新token,让用户感觉不到。而隐式地刷新token,需要考虑一些问题:如果在过期的时间点,一个页面同时发起多个ajax请求过来。那么第一个请求服务端校验后发现token过期。便会刷新token。而后续的几个请求携带的仍然是旧token,就会被拒绝。如果这样,那页面上就请求不到资源了,会让人觉得很奇怪。解决办法可以参考如下几种

  • 后台解决方案:在服务端缓存或数据库中,保存两份token,一份是当前有效的token,一份是上次失效的preToken。当在过期时间点有多个请求并发访问时,检查到请求头中的token已经失效,把preToken设置为当前失效的token,把token更新为新的token。之后的其他并发访问的请求,发现它们的token和缓存中已经刷新的token不一致,就去检查是否和preToken一致,如果一致,也可以允许访问。这样一来,并发访问就没问题了。
  • 前端解决方案:前端使用axios拦截器,每次返回结果时,检查是否token过期。如果token已经过期,那么发起刷新token请求。当然,如果只是这样,上面的问题并没解决,并发访问的那几个请求由于因为token过期,会同时发起多个token刷新请求,这样会造成重复刷新token。所以,可以这样设计,前端保存一个变量isfreshing,表示当前是否正在请求刷新token。为0表示没有,则可以发起刷新token请求;为1则表示已经在请求新token,利用promise保存当前请求。如果发现token失效,就把isfreshing置为1,并发送刷新请求。这时候,如果其他并发请求也由于token失效要发起刷新token请求时,检查到isfreshing已经是1了,就不会发起请求,并且该token失效的请求被保存起来,直到新token返回后重新发起。这样的实现应该是没问题的,思路参考该文章 https://segmentfault.com/a/1190000016946316 (侵删)具体代码我还没怎么研究(Promise比较烂,所以没怎么看懂),但是应该是这个思路没错。

    以上就是两种可行的解决方案,其实后台解决方案还有其他类似的方法,比如设置一个允许过期的误差时间等。

    无论是什么方法,要注意的是该方法在刷新token的同时,要解决两个问题:1.多个请求在过期点并发访问,后面的请求不会失败。2. 不会造成多次重复刷新token问题

jwt过期及作废问题

jwt是一种token的实现规范,一大特点就是通过非对称加密,使得可以做到无状态token(服务端不需保存任何信息)。但是jwt的使用还是需要慎重。这里主要讲一下一个困惑我很久的问题

   作废问题:由于服务端不存储任何jwt信息,所以使得无法作废已经颁布的jwt token(比如修改密码,必须作废jwt)。这一点很致命,网上有的办法是服务端缓存一个黑名单,存储已经作废的token,其实这样就变得有状态了,需要服务端的存储。或者干脆把Jwt缓存到服务端,无论哪种方法,都破坏了jwt的无状态特性,那和普通的token,session也没有区别了其实

   过期时间问题:Jwt一般也都要设置过期时间,其实就是在payload中加一个过期时间戳,但是这样其实很不安全,payload里面的内容只是经过简单的base64加密,是可以很简单破解修改的。对于过期的token,可以简单的修改日期就可以重用了。而如果把jwt的信息和过期时间缓存在服务端,倒是可以解决问题,但是又回到了老问题——有状态jwt。

-----综上,其实使用Jwt还是又很多问题有待思考的,并不是说它不好,jwt也有它自己适用的场景,只是用的时候要考虑好问题。虽然服务器无需缓存jwt任何信息是一大亮点,但并不是任何场景下这一点都能用好。

关于jwt问题主要参考了如下文章(侵删)

https://learnku.com/articles/22616

总结

这样看来,其实token本身也是有很多麻烦的,当然也有它的用武之地。但是传统的cookie-session机制其实也挺好的,有些人觉得对于前后端分离,app程序这些,cookie没法带上。其实倒不至于,前后端分离项目也是可以让前端请求带上cookie的,而app中也有相应的实现。至于谈到分布式,也有spring session等技术可以实现session共享。session由于存在比较久远,相应的技术还是挺全面的,这样以来,其实session机制也是挺好的(我是这么想的)。当然,具体使用情况还是看具体业务吧,各有各的用处。

本文只是我这段时间对token学习的理解和记录(因为实在有太多疑惑。。),如果有不对的地方或疑惑的地方,欢迎提出共同讨论,彼此学习!!!

关于token无痛新的两个方案
Yugoup的博客
04-25 2593
目录方案一方案二 方案一 思路: 后端需要返回一个token过期的时间,在请求发起前拦截每个请求,判断token的有效时间是否已经过期,如果已过期,则暂时将请求挂起,先token后再继续请求。 前期思考: 返回过期时间是为了判断是否过期的,但是如果服务器时间系统时间不一致呢? 如果同时发起多个请求时怎么办? 实现: 因为是在请求前进行拦截,所以这里用axios的axios.interceptors.request.use()方法 首先,关于服务器时间系统时间不一致的问题,我的解决方法是:
【成为架构师3-18】缓存:并发更新造成token相互失效的问题
Nevercome
10-05 833
并发更新造成token相互失效的问题与解决方案
微服务jwt登录过期解决方案
酷毙了耶的博客
01-06 9176
好长时间没有上来写博客了,想你们了都有点 ,????,近期一直在忙这搭建微服务架构,为一个app提供稳定服务而忙碌,从而在搭建的过程中,遇到了jwt过期以及,恶意jwt问题,今天主要是针对这两个问题展开教程.话不多说,先说一下什么是jwt ...
token超时新策略
bieber007的博客
09-14 4117
需求分析 我们在做用户中心时,对于登录用户签发其对应的token,对token设置他的固定有效期时间。我们通常会遇到一个这样的问题:在有效期内用户携带token访问没问题,当过了有效期后token失效,用户需要重新登录获取新的token。当token时间设置得很短,假如只有10分钟,那么用户当问期间每隔10分钟就要重新登录一次,这样对于用户来说是比较差的体验。 一个App鉴权流程(token新机制): 1.活跃的用户应该在无感知的情况下在token失效后获取到新的token,携带这个新的token
Token 新并发处理解决方案
Star's Tech Blog
12-03 5205
Token 进行新续期,我们要解决并发请求导致重复Token问题,这也是设计Token 的难点。这里我会分别介绍前端后端各自的处理方案。 后端方案:利用 Redis 缓存 当同时发起多个请求时,第一个接口新了 Token,后面的请求仍然能通过请求,且不造成 Token 重复新。那么,后端在用户第一次登录时,需要将生成的 Token 数据(token createTime)缓存一份到 Redis 中。 当 Token 过期时,重新生成新的 Token 数据并更新 Redis 缓
SpringCloud Alibaba微服务实战三十五 - 实现退出登录后注销 jwt token
2401_85171931的博客
05-20 625
在这个部分总结了2019年到目前为止Java常见面试问题,取其面试核心编写成这份文档笔记,从中分析面试官的心理,摸清面试官的“套路”,可以说搞定90%以上的Java中高级面试没一点难度。本节总结的内容涵盖了:消息队列、Redis缓存、分库分表、读写分离、设计高并发系统、分布式系统、高可用系统、SpringCloud微服务架构等一系列互联网主流高级技术的知识点。(上述只是一个整体目录大纲,每个点里面都有如下所示的详细内容,从面试问题——分析面试官心理——剖析面试题——完美解答的一个过程)
Go语言中JWT Token的签发与新机制详解
该机制的基本原理包括双Token策略——访问Token生命周期短(如15分钟),Token有效期较长(如7天),且后者通常存储在HttpOnly Cookie中以防XSS攻击。文档给出了Go语言下的具体实现逻辑:建立独立的新接口,...
分布式环境下农行支付会话管理:Token新与并发控制的4种高可用策略
# 分布式环境下支付会话管理的深度实践:从理论到农业银行生产落地 ...此时,他们的Access Token正陆续过期,客户端开始自动新;与此同时,有人误触返回键又重新进入页面,触发了第二次新请求……
JWT的使用详解
snow_love_xia的博客
03-04 3536
背景 公司处在前后端分离的转折阶段,作为后端人员,要找到一个适用于接口验证的方式,公司仍保持后端使用Laravel框架,而laravel框架默认的是【web】方式,web 方式是使用 session 来进行用户认证,当然也是可以使用,但是有一定的不安全,经过调研,主流使用的Token验证方式。 介绍JWT JWT资料 项目Wiki 官方指导文档 The Anatomy of a JSON Web Token JWT:全称Json Web Token,是一种规范化的token。可以理解为对token这一技
token后,请求继续使用旧的token能请求成功吗
04-30
然后需要结合之前的回答,用户之前的问题是关于为什么没有用token也能请求成功,现在的问题是关于新后的旧token有效性。可能需要联系到服务端的认证策略,比如是否严格校验token的有效性,是否有及时更新黑名单等...
token问题
qq_54951190的博客
10-24 2367
双拦截器实现token问题
token无感新+处理并发的后端方案
m0_64106946的博客
11-02 1680
当用户通过登陆后进入一个web网站,会把token保存到localStorage。假设token过期时间30min。那么当用户在网站快乐地玩耍了30min后,这时进行了一次提交表单,它会被重定向到登陆页面。作为用户:我表单填了这么久,点击提交时让我重新登陆?我的体验很不好。
token新并发 java_retrofit token并发处理
weixin_34369657的博客
02-27 1061
情况说明在app开发中,我们需要保证用户登录之后,如果没有在其他设备上登录,则不需要再次登录,很多都会使用token作为安全令牌,开始阶段都会在登录时候获取,一直使用到下次登录。这样的token没有什么安全性可言,所以大多app都会做token时效性处理。token流程图如下:token流程图.png暂时我了解的方案有两种:在获取token的时候,同时获得token的有效时间新toke...
解决Shiro jwt并发token问题
热门推荐
大爱仙尊
05-02 2万+
使用shiro jwt做应用系统的权限校验,网上通用的方式是这样的。 在用户登录时候会生成两份token,一份AccessToken用于返回给前端,前端带上这个令牌去请求后台接口,通常过期时间较短5分钟左右,一份RefreshToken放在Redis中,两个Token的加密值都是当前时间戳,当用户的AccessToken过期时,就去从Redis中通过用户名取得Redis中的RefreshToken,比较AccessTokenRefreshToken中的时间戳是否一致,如果一致就重新生成一...
微信获取token解决并发问题
weixin_42609225的博客
02-09 607
微信的 token 是用来识别请求者身份的,因此在处理并发请求时需要特别注意。解决并发问题的方法可以采用以下几种: 加锁:在多个请求同时对 token 进行请求的情况下,使用锁的机制,只允许一个请求同时进行 token 的获取操作。 缓存:在微信获取的 token 有效期内,将它缓存在服务器上,避免每次请求都向微信请求 token。 限流:设置请求频率限制,在每个时间段内最多允许请求一定数量...
前端如何实现token的无感
xiangzhihong8的专栏
10-22 1252
通常,对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去token,并替换之前的token。 要做到token的无感新,主要有3种方案: 方案一: 后端返回过期时间,前端每次请求就判断token过期时间,如果快到过期时间,就去调用token接口。 缺点:需要后端额外提
Token新机制
weixin_43914605的博客
07-01 5244
方法优点缺点基于定时器的自动新简单易实现,自动化管理不适用于后台新,可能导致不必要的网络请求基于请求拦截器的新高效,适用于后台新,减少不必要的网络请求,复杂度增加,需要处理并发问题,同一时刻多个请求可能触发多次新。首次请求可能延迟基于响应拦截器的新只有在必要时才token,避免不必要的请求,能够处理 token 失效后的各种情况,包括并发问题。首次请求失败可能增加延迟。
JWTToken 工具类并发ThreadLocal的使用
weixin_30241919的博客
05-14 387
<dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.2.0</version></dependency><dependency> <...
如何处理 JWT Token过期问题
最新发布
08-06
### JWT Token过期问题处理 JWT(JSON Web Token)是一种用于身份验证的开放标准,广泛应用于现代 Web 应用中。由于 JWT 的无状态特性,Token 一旦签发,无法像传统 Session 一样被直接撤销。因此,Token过期新机制成为保障系统安全性的关键。 在 JWT 中,可以通过在 Payload 中设置 `exp` 字段来指定 Token过期时间。为了实现 Token新机制,可以在用户每次访问时更新 Token过期时间,并签发一个新的 Token。由于 JWT 的签名机制依赖于整个 Payload 的内容,因此只要 `exp` 发生变化,Token 的签名也会随之改变,相当于重新颁发了一个新的 Token [^1]。 为了进一步增强安全性,可以在后端引入 Redis 缓存机制,将用户的 JWT 存储在 Redis 中,并设置一个比 Token 本身有效期更长的缓存时间。这样,即使 Token 本身已经过期,只要它仍然存在于 Redis 中,就可以认为该 Token 处于“可新”状态,允许用户在一定时间内自动获取新的 Token,而无需重新登录 [^3]。 在实际的处理流程中,前端可以首先发起请求,后端通过 JWT 工具类(如 `isTokenExpired` 函数)验证 Token 是否过期。如果 Token过期,前端可以捕获到 401 错误,并发起Token 的请求。后端在收到新请求后,验证缓存中的 Token 是否有效,并为前端返回一个新的 Token [^2]。 在Token 的过程中,可以将新的 Token 存储在 Redis 中,同时更新Token(refresh token)的有效期。如果Token 也已过期,则需要用户重新登录。新的 Token 通常不会直接存储在 Redis 中,而是将Token 存储其中,以确保安全性 [^5]。 此外,可以将 Token 分为几种状态:正常 Token(未过期且未达到建议更换时间)、濒死 Token(未过期但已达到建议更换时间)、正常过期 Token(已过期但存在于缓存中)非正常过期 Token(已过期且不存在于缓存中)。通过这种分类,可以更精细地控制 Token 的生命周期新策略 [^4]。 以下是一个简单的 Token 新逻辑示例代码: ```python import jwt from datetime import datetime, timedelta import redis # 初始化 Redis 客户端 redis_client = redis.StrictRedis(host='localhost', port=6379, db=0) def generate_token(user_id, refresh=False): payload = { 'user_id': user_id, 'exp': datetime.utcnow() + timedelta(minutes=15) # Token 有效期为15分钟 } token = jwt.encode(payload, 'secret_key', algorithm='HS256') if refresh: # 将Token 存入 Redis,并设置更长的过期时间 redis_client.setex(token, timedelta(hours=24), 'refresh_token') return token def refresh_token(old_token): try: # 解析 Token payload = jwt.decode(old_token, 'secret_key', algorithms=['HS256']) user_id = payload['user_id'] # 检查 Token 是否存在于 Redis 中 if redis_client.exists(old_token): # 删除旧 Token redis_client.delete(old_token) # 生成新的 Token 并设置新标志 return generate_token(user_id, refresh=True) else: raise Exception("Token过期且不在缓存中") except jwt.ExpiredSignatureError: raise Exception("Token过期") except jwt.InvalidTokenError: raise Exception("无效的 Token") ``` 通过上述机制,可以有效管理 JWT Token 的生命周期,确保系统的安全性与用户体验的平衡。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值