双token!!!

已于 2024-12-30 17:58:25 修改
阅读量2k 收藏
点赞数 3
CC 4.0 BY-SA版权
文章标签: java 开发语言
于 2024-10-23 10:16:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/winks3/article/details/143176652

1、双token场景


超级管理员下线,用户角色修改的时候,避免单token无感知,及时刷新token;双token系统通常用于提高安全性和分离不同级别的权限。里面主要有两个token
业务token(Access Token):这是用户用来直接访问资源的token,他的特点是有效期比较短,一旦过期,用户需要重新认证来获取token,这样做的好处是即使我们业务token泄露了,攻击者进行不当操作的时间有限。
刷新token(Refresh Token ):这是当业务token过期的时候重新获取业务token的,他的特点是有效期一般比较长(刷新token一般不会发送给客户端,而是保存在服务器端?),当需要刷新业务token的时候,服务端通过提供刷新token去请求新的业务token。可以让用户在无感知的情况下获取新的业务token。当我们获取新的业务token的时候,其实刷新token也延长了寿命,相当于刷新token变为永久的了

2、为什么要用双token

  • 安全性:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。即使access token被盗,由于其有效期短,损害可以被控制在一定范围内。

  • 权限管理:双token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。

  • 用户体验:双token系统可以在不影响用户体验的前提下,实现后台的安全管理和策略调整。用户不需要频繁登录,同时也能保证系统的安全性。

  • 灵活性:在需要进行更细粒度的权限控制或者策略调整时,双token系统提供了更多的灵活性。例如,可以在不改变refresh token的情况下,调整access token的有效期或权限范围。

总之,双token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新的token,来提高系统的安全性和灵活性。这种设计特别适用于需要与第三方应用共享权限而又不泄露用户敏感信息的场景。

3、双token的核心点

双token系统通常用于提高安全性和分离不同级别的权限。在这种系统中,通常会有两个token:

  • Access Token:这是用户直接使用来访问资源的token。它的有效期较短,一旦过期,用户需要重新认证来获取新的access token。这样做的好处是即使access token被泄露,由于其有效期短,攻击者利用它进行不当操作的时间窗口有限。

  • Refresh Token:Refresh token是用来在access token过期后重新获取新的access token的。它的有效期通常较长,甚至可以说是永久的。

4、双token实现步骤


用户登录成功后,后端使用hutool的JWTUtil工具,根据用户id、角色信息、权限生成业务token和刷新token,前端获取响应后并将其存到pinia中
每次发送请求时,前端请求拦截器都会从pinia中获取业务token
如果响应结果提示token过期,则调用后端的刷新token接口,获取新的业务token和刷新token(需要前端传刷新token),并更新pinia中的值


双token中分别存的什么?


业务token:30分钟,刷新token:半年
业务token:用户id、用户名(mybatis拦截器)、roles、permissions(权限)、过期时间(exp)
刷新token:用户id、过期时间(exp)

如何实现双token

winks3
关注
长推理(Long Reasoning)成本太高?7大压缩技术帮你省下一半Token
同学小张的博客
04-22 207
本文系统梳理了近期7篇针对长思维链压缩的前沿研究工作,重点分析其核心方法、创新点及实验结果,为降低推理成本提供技术参考。
全方位解析 Token实现无感刷新:用 Spring Boot + Vue + Redis 构建高安全认证体系
小菜的博客
12-14 2150
访问Token(Access Token)和刷新Token(Refresh Token),来分别处理认证与授权问题。Token认证机制为Web应用提供了更强的安全性和更好的用户体验。通过合理的配置和管理,访问Token刷新Token分别承担不同的功能,有效防止了Token被长期滥用的风险,并减少了用户频繁登录的困扰。尽管实现较为复杂,但其带来的好处是显而易见的。通过本文的Spring Boot与Vue示例,希望开发者能够更好地理解并实施Token认证机制,提升应用的安全性与稳定性。!!
登录时做 token实现无感刷新
weixin_58215826的博客
05-17 1915
token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。总之,token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新token,来提高系统的安全性和灵活性。:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。
Token认证全解析:原理、场景与落地实践
最新发布
Hello World!你好世界!
06-11 461
Token机制通过访问令牌与刷新令牌的职责分离,在安全与体验间取得完美平衡。随着OAuth 2.1标准推广,该方案已成为现代应用认证的黄金标准。金融级系统采用JWE加密令牌+设备指纹绑定高并发场景用Redis Cluster存储RefreshToken关键操作需二次认证(如短信/生物验证)2026年50%的新系统将采用「自适应Token」策略,根据用户行为动态调整安全策略。
token方案
奔跑的菜鸡
08-24 506
token方案
Token(access Token, refresh Token)
m0_74152892的博客
03-20 526
Token是携带足够信息的数据片段,用于帮助确定用户身份或授权用户执行某个操作。总的来说,Token是允许应用系统执行授权和身份验证过程的工具。
项目梳理——Token
Hathwayoung的博客
04-24 1951
Tokentoken+refreshToken。 假设设置一个有效时间validtime为2h,如果使用单token的话,则就是进行操作前面这篇提到的方式。 不同的是,当使用token的时候,不需要像单token那样每次操作都对有效时间进行刷新,而是在这2h内,这个token可以一直使用,一直有效,访问不同的信息,不需要刷新。 而在2h后,refreshToken在它的有效期内自动刷新tok...
无感刷新-token!!!
qq_64847107的博客
05-18 1258
超级管理员下线,用户角色调整,避免单token无感知,及时刷新tokentoken系统通常用于提高安全性和分离不同级别的权限。:这是用户直接使用来访问资源的token。它的有效期较短,一旦过期,用户需要重新认证来获取新的access token。这样做的好处是即使access token被泄露,由于其有效期短,。:Refresh token是用来在access token过期后重新获取新的access token的。它的,甚至可以说是永久的。
token实现token超时策略示例
09-04
本文将探讨如何通过Token策略来实现Token的超时策略,这对于确保应用程序的安全性和用户体验至关重要。 首先,我们要理解什么是TokenToken是一个由服务端生成的字符串,用于证明客户端在一定时间内具有访问特定...
javaweb登录模块 , token + redis(防止多设备登录)
11-14
1、后台是否保存 token 以及 refresh_token ? 用Redis保存token以及refresh_token 作用: 实现单设备登陆 设备A登陆后生成的token保存到redis中,如果设备B登陆同一个账号,则将设备A在redis存储的token清除。 用户...
token无感刷新完整例子(VUE+NEST)
03-05
前端vue项目 进入Vue3AxiosTwoToken 执行pnpm i或npm i安装依赖 执行npm run dev运行 打开浏览器器输入"http://localhost:3200"访问 后端nest接口 进入token-test 执行pnpm i或npm i安装依赖 执行npm run start运行
Token 认证机制详解——原理、实现及代码示例
m0_61786208的博客
02-21 1857
适用于短期访问,过期后需要使用获取新 Token。只应存储在服务器端,避免暴露给前端。 Token 认证提供更高的安全性,同时减少用户的重复登录,提高体验。这种方式广泛应用于现代 Web 开发,尤其是 SPA(单页应用)、移动应用和微服务架构中。如果你的系统需要更高的安全性,建议结合Redis 或数据库存储 Refresh Token以便进行主动撤销。
Token的处理
weixin_70604812的博客
02-28 670
前言:当我们在完成登录以后,会对token进行存储,一般存储在本地以及vuex中,但是token是有时效性的,到达一定时效,就会失效,因此衍生出token(下文一个叫token,另一个叫refresh_token),refresh_token的时效性设置应比token长,这样当token失效时,refresh_token可以发起一次请求,重新获取一次token,从而保证用户的体验舒适度,没必要正在疯狂输出,啪一下,快乐没了~~~~
token的认识
weixin_62122119的博客
06-29 590
token的存在 accessToken和refreshToken存在 acessToken存在周期较短,主要为refreshToken做铺垫,当token过期会不断的刷新token且每次的refreshToKen是会变的。基于token登录验证的情况下 1当你正在访问一个网页时 这时token过期那么你被下线重新登录,2特别是对于哪谢正常访问操作的网页app等的用户,过期时间到被下线,这就很智障,用户体验感极差;
Token方案实现Token自动续期(基于springboot+vue前后端分离项目)
qq_44286009的博客
06-10 4546
jwt理论介绍springboot+vue项目中使用jwt实现登录认证本篇文章的代码是在springboot+vue项目中使用jwt实现登录认证的基础上实现的Token自动续期的功能。token解决方案是一种用于增强用户登录安全性和提升用户体验的认证机制。它主要涉及两个令牌:访问令牌(accessToken)和刷新令牌(refreshToken)。
SpringBoot中基于JWT的token(access_token+refresh_token)授权和续期方案
热门推荐
码到三十五
09-22 12万+
鉴于JWT包含用户信息且需保障安全,其过期时间通常设置较短。然而,这易导致用户频繁登录,尤其是在处理复杂表单时(比如在线考试),因耗时过长而遇token过期,引发不必要的登录中断和数据丢失,严重影响用户体验。如何在用户无感知状态下实现token自动续期的策略,减少频繁登录需求,确保表单数据不丢失呢? 解决token过期续期问题可以有很多种不同的方案,这里举一些比较有代表性的例子,一种是单token续期,一种是token续期。
前端设计之——token设计
Cuichenyang158的博客
10-05 906
自此就完成了token的无痛刷新,在用户访问网站时,用户对于accessToken刷新是没有体感的,只会在一两周的时间间隔refreshToken也过期的时候进行一次登录操作,就可以正常访问网站了,即降低了用户实际accessToken被劫持的风险,又提升了用户的体验。token是为了防止用户信息传来传去导致被劫持,但是假如token没有过期时间或者过期很长,那么显然token被劫持还是不安全的,token就失去了意义。这时就需要token来达到无痛刷新token的效果。
token 保持登录机制前端拦截实践
皮蛋很白的博客
10-15 2262
token 机制 关于**“ token 机制”**指的是使用户的登录状态在活跃期间保持有效的一种安全机制。 一般需要用户登录的系统为了校验用户的身份或登陆状态,会在用户登录时由服务器生成一个存储了或指向用户信息的 token,返回给客户端存储,这个 token 称为 access_token。 在请求其它接口的时候将 access_token 发送给服务器(通过 Header 或 Cookie)。 服务器根据 access_token 获取到用户信息,作为鉴权的依据。 而为了避免 token 被用户
Token 机制的原理
weixin_64317904的博客
02-13 1056
Token 机制通过和的组合,解决了单 Token 机制中过期时间设置的矛盾问题,既保证了安全性,又提升了用户体验。实际项目中,需要前后端密切配合,确保流程的顺畅和安全。
token
03-08
### Token 在 IT 安全和认证中的应用 token 系统作为一种重要的安全设计模式,在现代 Web 开发中广泛应用。该系统通过引入两种不同类型的令牌——访问令牌(Access Token)和刷新令牌(Refresh Token),实现了更细粒度的安全控制。 #### 访问令牌 (Access Token) 访问令牌主要用于验证用户的请求合法性,通常具有较短的有效期。当客户端向服务器发送请求时,会携带此令牌作为身份证明。为了防止恶意攻击者利用截获的令牌进行非法操作,其生命周期被有意缩短至几分钟甚至几秒钟内失效[^1]。 ```python import jwt from datetime import datetime, timedelta def create_access_token(user_id): payload = { 'sub': user_id, 'exp': datetime.utcnow() + timedelta(minutes=15), 'type': 'access' } access_token = jwt.encode(payload, 'secret_key', algorithm='HS256') return access_token ``` #### 刷新令牌 (Refresh Token) 相比之下,刷新令牌则拥有较长的生命期,负责在原有访问令牌过期后重新获取新的有效凭证而不必每次都让用户再次登录输入密码等信息。这种方式不仅提升了用户体验还增强了安全性。 ```python def create_refresh_token(user_id): payload = { 'sub': user_id, 'exp': datetime.utcnow() + timedelta(days=7), # 更长有效期 'type': 'refresh' } refresh_token = jwt.encode(payload, 'secret_key', algorithm='HS256') return refresh_token ``` #### 实现细节 实际部署过程中,可以采用 JSON Web Tokens (JWT) 来编码上述两类令牌的内容,并借助特定库如 `jwt-go` 或 Python 的 PyJWT 库完成具体功能实现[^2][^3]。对于涉及敏感数据的操作,则建议使用更强加密标准比如 ECDSA 进行签名保护[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值