双token!!!

已于 2024-12-30 17:58:25 修改
阅读量1.9k 收藏
点赞数 3
文章标签: java 开发语言
于 2024-10-23 10:16:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/winks3/article/details/143176652
版权

1、双token场景


超级管理员下线,用户角色修改的时候,避免单token无感知,及时刷新token;双token系统通常用于提高安全性和分离不同级别的权限。里面主要有两个token
业务token(Access Token):这是用户用来直接访问资源的token,他的特点是有效期比较短,一旦过期,用户需要重新认证来获取token,这样做的好处是即使我们业务token泄露了,攻击者进行不当操作的时间有限。
刷新token(Refresh Token ):这是当业务token过期的时候重新获取业务token的,他的特点是有效期一般比较长(刷新token一般不会发送给客户端,而是保存在服务器端?),当需要刷新业务token的时候,服务端通过提供刷新token去请求新的业务token。可以让用户在无感知的情况下获取新的业务token。当我们获取新的业务token的时候,其实刷新token也延长了寿命,相当于刷新token变为永久的了

2、为什么要用双token

  • 安全性:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。即使access token被盗,由于其有效期短,损害可以被控制在一定范围内。

  • 权限管理:双token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。

  • 用户体验:双token系统可以在不影响用户体验的前提下,实现后台的安全管理和策略调整。用户不需要频繁登录,同时也能保证系统的安全性。

  • 灵活性:在需要进行更细粒度的权限控制或者策略调整时,双token系统提供了更多的灵活性。例如,可以在不改变refresh token的情况下,调整access token的有效期或权限范围。

总之,双token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新的token,来提高系统的安全性和灵活性。这种设计特别适用于需要与第三方应用共享权限而又不泄露用户敏感信息的场景。

3、双token的核心点

双token系统通常用于提高安全性和分离不同级别的权限。在这种系统中,通常会有两个token:

  • Access Token:这是用户直接使用来访问资源的token。它的有效期较短,一旦过期,用户需要重新认证来获取新的access token。这样做的好处是即使access token被泄露,由于其有效期短,攻击者利用它进行不当操作的时间窗口有限。

  • Refresh Token:Refresh token是用来在access token过期后重新获取新的access token的。它的有效期通常较长,甚至可以说是永久的。

4、双token实现步骤


用户登录成功后,后端使用hutool的JWTUtil工具,根据用户id、角色信息、权限生成业务token和刷新token,前端获取响应后并将其存到pinia中
每次发送请求时,前端请求拦截器都会从pinia中获取业务token
如果响应结果提示token过期,则调用后端的刷新token接口,获取新的业务token和刷新token(需要前端传刷新token),并更新pinia中的值


双token中分别存的什么?


业务token:30分钟,刷新token:半年
业务token:用户id、用户名(mybatis拦截器)、roles、permissions(权限)、过期时间(exp)
刷新token:用户id、过期时间(exp)

如何实现双token

winks3
关注
全方位解析 Token实现无感刷新:用 Spring Boot + Vue + Redis 构建高安全认证体系
小菜的博客
12-14 2008
访问Token(Access Token)和刷新Token(Refresh Token),来分别处理认证与授权问题。Token认证机制为Web应用提供了更强的安全性和更好的用户体验。通过合理的配置和管理,访问Token刷新Token分别承担不同的功能,有效防止了Token被长期滥用的风险,并减少了用户频繁登录的困扰。尽管实现较为复杂,但其带来的好处是显而易见的。通过本文的Spring Boot与Vue示例,希望开发者能够更好地理解并实施Token认证机制,提升应用的安全性与稳定性。!!
无感刷新-token!!!
qq_64847107的博客
05-18 1219
超级管理员下线,用户角色调整,避免单token无感知,及时刷新tokentoken系统通常用于提高安全性和分离不同级别的权限。:这是用户直接使用来访问资源的token。它的有效期较短,一旦过期,用户需要重新认证来获取新的access token。这样做的好处是即使access token被泄露,由于其有效期短,。:Refresh token是用来在access token过期后重新获取新的access token的。它的,甚至可以说是永久的。
token过期机制的问题
qq_46940224的博客
10-15 6452
浅谈一下token过期机制的问题
Token 认证机制详解——原理、实现及代码示例
m0_61786208的博客
02-21 1078
适用于短期访问,过期后需要使用获取新 Token。只应存储在服务器端,避免暴露给前端。 Token 认证提供更高的安全性,同时减少用户的重复登录,提高体验。这种方式广泛应用于现代 Web 开发,尤其是 SPA(单页应用)、移动应用和微服务架构中。如果你的系统需要更高的安全性,建议结合Redis 或数据库存储 Refresh Token以便进行主动撤销。
登录时做 token实现无感刷新
weixin_58215826的博客
05-17 1748
token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。总之,token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新token,来提高系统的安全性和灵活性。:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。
token方案
奔跑的菜鸡
08-24 473
token方案
项目梳理——Token
Hathwayoung的博客
04-24 1888
Tokentoken+refreshToken。 假设设置一个有效时间validtime为2h,如果使用单token的话,则就是进行操作前面这篇提到的方式。 不同的是,当使用token的时候,不需要像单token那样每次操作都对有效时间进行刷新,而是在这2h内,这个token可以一直使用,一直有效,访问不同的信息,不需要刷新。 而在2h后,refreshToken在它的有效期内自动刷新tok...
token实现token超时策略示例
09-04
本文将探讨如何通过Token策略来实现Token的超时策略,这对于确保应用程序的安全性和用户体验至关重要。 首先,我们要理解什么是TokenToken是一个由服务端生成的字符串,用于证明客户端在一定时间内具有访问特定...
token无感刷新完整例子(VUE+NEST)
03-05
前端vue项目 进入Vue3AxiosTwoToken 执行pnpm i或npm i安装依赖 执行npm run dev运行 打开浏览器器输入"http://localhost:3200"访问 后端nest接口 进入token-test 执行pnpm i或npm i安装依赖 执行npm run start运行
后端token登陆快速入门:token实现登陆,判断登陆过期
Old_Secretary的博客
04-14 5186
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用token来解决。附带token流程和示例代码
javaweb登录模块 , token + redis(防止多设备登录)
11-14
1、后台是否保存 token 以及 refresh_token ? 用Redis保存token以及refresh_token 作用: 实现单设备登陆 设备A登陆后生成的token保存到redis中,如果设备B登陆同一个账号,则将设备A在redis存储的token清除。 用户...
Token的处理
weixin_70604812的博客
02-28 655
前言:当我们在完成登录以后,会对token进行存储,一般存储在本地以及vuex中,但是token是有时效性的,到达一定时效,就会失效,因此衍生出token(下文一个叫token,另一个叫refresh_token),refresh_token的时效性设置应比token长,这样当token失效时,refresh_token可以发起一次请求,重新获取一次token,从而保证用户的体验舒适度,没必要正在疯狂输出,啪一下,快乐没了~~~~
token的认识
weixin_62122119的博客
06-29 561
token的存在 accessToken和refreshToken存在 acessToken存在周期较短,主要为refreshToken做铺垫,当token过期会不断的刷新token且每次的refreshToKen是会变的。基于token登录验证的情况下 1当你正在访问一个网页时 这时token过期那么你被下线重新登录,2特别是对于哪谢正常访问操作的网页app等的用户,过期时间到被下线,这就很智障,用户体验感极差;
Token方案实现Token自动续期(基于springboot+vue前后端分离项目)
qq_44286009的博客
06-10 3957
jwt理论介绍springboot+vue项目中使用jwt实现登录认证本篇文章的代码是在springboot+vue项目中使用jwt实现登录认证的基础上实现的Token自动续期的功能。token解决方案是一种用于增强用户登录安全性和提升用户体验的认证机制。它主要涉及两个令牌:访问令牌(accessToken)和刷新令牌(refreshToken)。
SpringBoot中基于JWT的token(access_token+refresh_token)授权和续期方案
热门推荐
码到三十五
09-22 11万+
鉴于JWT包含用户信息且需保障安全,其过期时间通常设置较短。然而,这易导致用户频繁登录,尤其是在处理复杂表单时(比如在线考试),因耗时过长而遇token过期,引发不必要的登录中断和数据丢失,严重影响用户体验。如何在用户无感知状态下实现token自动续期的策略,减少频繁登录需求,确保表单数据不丢失呢? 解决token过期续期问题可以有很多种不同的方案,这里举一些比较有代表性的例子,一种是单token续期,一种是token续期。
前端设计之——token设计
Cuichenyang158的博客
10-05 847
自此就完成了token的无痛刷新,在用户访问网站时,用户对于accessToken刷新是没有体感的,只会在一两周的时间间隔refreshToken也过期的时候进行一次登录操作,就可以正常访问网站了,即降低了用户实际accessToken被劫持的风险,又提升了用户的体验。token是为了防止用户信息传来传去导致被劫持,但是假如token没有过期时间或者过期很长,那么显然token被劫持还是不安全的,token就失去了意义。这时就需要token来达到无痛刷新token的效果。
token 保持登录机制前端拦截实践
皮蛋很白的博客
10-15 2198
token 机制 关于**“ token 机制”**指的是使用户的登录状态在活跃期间保持有效的一种安全机制。 一般需要用户登录的系统为了校验用户的身份或登陆状态,会在用户登录时由服务器生成一个存储了或指向用户信息的 token,返回给客户端存储,这个 token 称为 access_token。 在请求其它接口的时候将 access_token 发送给服务器(通过 Header 或 Cookie)。 服务器根据 access_token 获取到用户信息,作为鉴权的依据。 而为了避免 token 被用户
【Vue3项目】登录注册--Token机制
aDiaoYa_的博客
08-12 2326
最近同项目的伙伴告诉我们一个“新词汇”——Token登录机制,emmmmm,确实没了解过,据说是在实现token长期有效的同时,防止token被第三方盗用,提高用户信息的安全性。于是,在了解了大概之后,我找了很多篇文章去学习Token的实现过程,总结如下。一般我们实现用户登录是:用户登录向服务端发送账号密码信息,登录失败返回客户端重新填写并发送用户信息;登录成功服务端生成token并返回token给客户端,客户端将token存本地。那么问题来了,token的有效期应该是多久呢?
token实现原理
最新发布
03-30
### Token机制的实现原理 Token机制通常用于增强系统的安全性,防止非法用户的访问以及提高用户体验。其核心思想是通过两种不同类型的Token——**Access Token** 和 **Refresh Token** 来管理用户会话。 #### Access Token 的作用 Access Token 是一种短期有效的令牌,主要用于客户端向服务端发起请求时的身份验证。它的生命周期较短(例如几分钟到几小时),目的是减少因长时间暴露而带来的安全隐患[^3]。当客户端需要调用受保护资源时,它会在HTTP头中携带此Token: ```http Authorization: Bearer {ACCESS_TOKEN} ``` 一旦Access Token过期,客户端无法继续使用该Token访问受限资源,此时就需要借助 Refresh Token 获取新的Access Token。 #### Refresh Token 的作用 Refresh Token 则是一个长期有效的令牌,主要负责在Access Token失效后重新获取一个新的Access Token。为了保障安全,Refresh Token 不应直接存储于前端浏览器环境,而是存放在更安全的地方,比如HttpOnly Cookie 或 后台服务器上[^4]。以下是刷新流程的一个典型例子: 1. 客户端检测当前使用的Access Token已过期; 2. 使用存储的Refresh Token向认证服务器发送请求以换取新Token; 3. 认证服务器验证Refresh Token的有效性,并返回新的Access Token及可能更新后的Refresh Token。 需要注意的是,尽管Refresh Token有效期较长,但它仍然存在一定的风险。因此实际应用中可以设置一些额外的安全策略,如IP绑定、设备指纹校验等手段进一步加固系统防护能力[^5]。 #### 示例代码展示如何处理Token逻辑 下面给出一段基于Spring Security框架下利用JWT实现Token功能的部分伪代码片段: ```java // 验证 refresh token 并生成新的 access token @PostMapping("/refresh-token") public ResponseEntity<?> refreshToken(@RequestBody Map<String, String> request) { String refreshToken = request.get("refresh_token"); if (jwtUtil.validateToken(refreshToken)) { // 自定义工具类检查token有效性 Authentication authentication = jwtUtil.getAuthenticationFromToken(refreshToken); CustomUserDetails userDetails = (CustomUserDetails) authentication.getPrincipal(); String newAccessToken = jwtUtil.generateAccessToken(userDetails); return ResponseEntity.ok(new JwtResponse(newAccessToken)); } throw new InvalidTokenException("Invalid refresh token!"); } // JWT 工具类中的部分方法示意 @Component public class JwtUtil { public boolean validateToken(String token){ // 解析并验证token合法性... } public Authentication getAuthenticationFromToken(String token){ // 提取token内的用户信息构建authentication对象... } public String generateAccessToken(CustomUserDetails userDetails){ // 创建新的access token ... } } ``` 上述代码展示了如何接收来自客户端的Refresh Token 请求,经过一系列操作之后再反馈给对方最新可用的Access Token。 ### 总结 综上所述,Token机制不仅能够满足快速频繁地进行业务交互的需求,同时也兼顾到了网络通信过程中的安全保障问题。合理运用这两种Token可以帮助开发者设计更加健壮可靠的API接口体系结构。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值