关于refresh token的总结

最新推荐文章于 2025-04-26 05:15:00 发布
最新推荐文章于 2025-04-26 05:15:00 发布
阅读量7.2k 收藏 27
点赞数 7
CC 4.0 BY-SA版权
文章标签: 前端 javascript 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MPFLY/article/details/123199084

这两天做项目,第一次做了刷新token的功能。

以前做的最多的是:用户登录,给一个固定的token,并且这个token有一个期限。如果该token过期。那么持有该token的用户再次发起请求时,将会收到拒绝,并且前端页面给出“您的登录已过期”的提示,并跳转至登录页面。用户只能重新输入账号密码进行登录,然后再继续进行刚刚的操作。

我们可以看到,不由分说地将已过期的用户退出登录,是不科学和不人性化的。那么如何做才能比较好的进行token的管理呢?

我们引入refresh_token,可以比较好的解决这个问题。

首先明确一个前提:access_tokenrefresh_token两者都各自有一个期限,

我们假设access_token的期限是1小时,refresh_token的期限是2小时。

access_token过期后,我们不会像之前一样,直接让该用户退出登录。而是转而判断该用户的refresh_token的期限是否也过期。

如果refresh_token也过期了,那么该用户即可退出登录。

如果没有过期,此时应再次发起一个刷新access_tokenrefresh_token的请求,该请求会返回2个新的token,2个新token又各自有1个小时和2个小时的期限。

我们前端在拿到新的access_tokenrefresh_token后,重新将存在cooies中的2个token进行更新,并使用新的access_token再次发起刚刚失败的请求。这样在用户没有感知的情况下,将用户的token进行了“更新换代”的操作。

比较核心的代码如下(vue项目,使用ElementUI):

// 重新获取token 并将未完成的请求继续完成
async function doRequest (error) {
  const data = await store.dispatch('user/refreshToken')
  if (data) {
    const { access_token } = data
    const config = error.response.config
    config.headers.Authorization = 'Bearer ' + access_token
    const res = await axios.request(config)
    return res
  }
}

  // token过期后 刷新token
  refreshToken({ commit }) {
    return new Promise((resolve, reject) => {
      const params = {
        grant_type: 'refresh_token',
        refresh_token: getRefreshToken()
      }
      axios({
        url: `${baseUrl}auth/oauth/token`,
        method: 'post',
        params: params,
        headers: {
          isToken: false,
          Authorization: 'Basic b2E6MQ=='
        }
      }).then(res => {
        const { data } = res
        commit('SET_TOKEN', data.access_token)
        commit('SET_REFRESH_TOKEN', data.refresh_token)
        setToken(data.access_token)
        setRefreshToken(data.refresh_token)
        resolve(data)
      }).catch(error => {
        MessageBox.alert('请重新登录!', '登录已过期', {
          confirmButtonText: '确定',
          type: 'warning',
          callback: action => {
            store.dispatch('user/resetToken').then(() => {
              location.reload()
            })
          }
        })
        reject(error)
      })
    })
  },
一文精通JWT Token、ID Token、Access TokenRefresh Token
FeelTouch Labs
02-21 2033
用于授权访问资源,任何 Bearer 持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密 key。一个 Bearer 代表授权范围、有效期,以及其他授权事项;一个 Bearer 在存储和传输过程中应当防止泄露,需实现 Transport Layer Security (TLS);一个 Bearer 有效期不能过长,过期后可用 Refresh Token 申请更新。
APP使用tokenrefreshToken实现接口身份认证,保持登录状态.vsdx
07-08
APP使用tokenrefreshToken实现接口身份认证,保持登录状态
APP使用tokenrefreshToken实现保持登录状态.vsdx
07-16
App使用TokenRefreshToken 完成登录认证接口,保持登录状态。 这是使用TokenRefreshToken的流程图。
什么是 Refresh Token
让每一行代码都有改变世界的力量
09-18 6829
什么是 Refresh Token AccessToken 和 IdToken 是 JSON Web Token (opens new window),有效时间通常较短。通常用户在获取资源的时候需要携带 AccessToken,当 AccessToken 过期后,用户需要获取一个新的 AccessTokenRefresh Token 用于获取新的 AccessToken。这样可以缩短 AccessToken 的过期时间保证安全,同时又不会因为频繁过期重新要求用户登录。 用户在初次认证时,Refresh
Token机制(Access Token + Refresh Token)安全高效
最新发布
IT枫斗者的博客
04-26 951
【代码】双Token机制(Access Token + Refresh Token)安全高效。
Refresh Token介绍
热门推荐
NSPOKS的博客
09-30 1万+
Refresh Token介绍 上篇文章说到Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token前端前端可以在每次请求的时候带上 Token 证明自己的合法地位,而Token的playload部分一般会存储相关的过期时间,一旦Token过期就会被网关拦截,因此如何设置Token刷新机制也是一个重点。 刷新Token探讨 过期...
关于refresh_token
dgiij的博客
08-11 639
其实不论多长时间,总会有超期时间,这时候用户访问时会跳转到登录界面要求重新登录,这样的体验是不太好的,所以一般情况下,登录成功后,可以提供两个token前端,一个是access_token,也就是前面介绍的通常意义上的jwt,而另一个是refresh_token,它的有效期比access_token的要长一些,用户在access_token过期且access_token未过期情况下可为前端重新申请access_token(其实也可以同时更新refresh_token
关于RefreshToken的介绍
weixin_63929524的博客
05-03 2407
客户端通常在请求中使用Token,当Token过期时,客户端将使用RefreshToken请求新的Token。服务器收到带有RefreshToken的请求时,将检查RefreshToken的有效性,并使用它来生成新的Token,同时返回新的Token和新的RefreshToken。通过上述步骤,我们就实现了双Token机制,可以减少用户Token过期重复登录问题,并且可以在Token过期时自动刷新Token,避免了客户端频繁反复请求的情况。首先,我们需要明确什么是Token,以及为什么需要使用Token
vue中前端利用refreshToken结合axios拦截器实现token的无感刷新
01-16
1、首次登录的时候会获取到两个token(AccessTokenRefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的时候携带AccessToken。 4、当接口口返回401权限错误时,使用RefreshToken请求...
QR_Code扫码获取阿里云盘refresh_token_For_Web_aliyundriver-
09-04
根据提供的文件信息,本篇内容将详细介绍QR码扫码获取阿里云盘Web端refresh token的方法、流程以及其相关概念和操作要点。阿里云盘作为阿里巴巴集团旗下的云存储服务,提供了便捷的文件存储、分享和同步功能。...
TokenRefresh Token
weixin_44153131的博客
02-14 4779
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。
tokenrefresh token
luminita_的博客
10-09 5567
最近一段时间新接手一个项目,第一次听说refresh token,下面谈谈我自己的理解。 首先,什么是token? 什么是refresh token?两者之间有什么关系? 1.token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 2.refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口,我们传入Refresh_t
tokenrefreshtoken
LINDYING的博客
05-11 2372
tokenrefreshtoken
tokenrefresh_token
grow_的博客
07-18 1752
token,refresh_token失效
Token(access Token, refresh Token)
m0_74152892的博客
03-20 470
Token是携带足够信息的数据片段,用于帮助确定用户身份或授权用户执行某个操作。总的来说,Token是允许应用系统执行授权和身份验证过程的工具。
关于tokenrefresh token
weixin_41282397的博客
08-21 1万+
0x01. refresh token 的意义 传统的认证方式一般采用cookie/session来实现,这是我们的出发点。 1.为什么选用token而不选用cookie/session? 本质上token和cookie/session都是字符串,然而token是自带加密算法和用户信息(比如用户id),;而cookie本身不包含用户信息,它指向的是服务器上用户的 session,而由sessi...
OAuth 2.0 中的 refresh_token 和它的重要性
AI天才研究院
12-27 2086
1.背景介绍 OAuth 2.0 是一种授权机制,它允许第三方应用程序访问用户的资源,而无需获取用户的凭据。这种机制通常用于在网络上进行身份验证和授权。在 OAuth 2.0 中,refreshtoken 是一种特殊类型的访问令牌,用于在访问令牌过期之前重新获得新的访问令牌。在本文中,我们将讨论 refreshtoken 的重要性,以及如何在 OAuth 2.0 中实现它。 2.核心概念与联系...
oauth2.0授权协议中刷新令牌refresh token的工作原理及生命周期分析
u013905744的专栏
12-16 1万+
在学习oauth2.0协议的时候,对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌,以及刷新令牌是如何工作的,技术细节是啥?比如通过refresh token可以让access token永久不过期吗? 下面就针对这两个问题进行分析。 为什么需要刷新令牌 如果access token超时时间很长,比如14条,由于第三方软件获取受保护资源都要带着access token,这样access token的攻击面就比较大。 如果access token超时时间很短,比如1个小时,那其超时之后
refreshtoken token实现
03-21
### refresh token 的实现方式及流程 在现代身份验证体系中,`refresh token` 是一种用于重新获取有效 `access token` 的机制。以下是关于如何通过 `refresh token` 实现 `token` 刷新的具体方法及其工作流程: #### 1. 基本概念 - **Access Token**: 通常是一个短生命周期的令牌,客户端可以使用它来访问受保护资源[^1]。 - **Refresh Token**: 通常是长生命周期的令牌,允许客户端在不重新登录的情况下获得新的 `access token`。 #### 2. 工作原理 当用户的 `access token` 即将过期时,客户端可以通过发送有效的 `refresh token` 来向授权服务器请求一个新的 `access token`。在此过程中,服务器可能会返回一个新的 `refresh token` 或继续沿用旧的 `refresh token`,具体取决于配置和安全策略[^2]。 #### 3. 请求过程 以下是基于 OAuth 2.0 标准的一个典型刷新流程: ##### (a) 客户端准备 客户端需要保存两个重要数据: - 当前的有效 `refresh token` - 授权服务器地址(即 `/token` 端点) ##### (b) 发送请求 客户端向授权服务器发出 POST 请求,传递必要的参数。以下是一个标准的 HTTP 请求示例: ```http POST /oauth/token HTTP/1.1 Host: authorization-server.com Content-Type: application/x-www-form-urlencoded grant_type=refresh_token&client_id=your_client_id&client_secret=your_client_secret&refresh_token=existing_refresh_token ``` 其中: - `grant_type`: 设置为 `refresh_token` 表明这是一个刷新请求。 - `client_id` 和 `client_secret`: 应用程序的身份凭证。 - `refresh_token`: 需要使用的现有 `refresh token`。 ##### (c) 服务端处理 授权服务器接收到请求后会执行以下操作: 1. 验证传入的 `refresh token` 是否合法且未被吊销。 2. 如果合法,则生成并返回一个新的 `access token` 及可能的新 `refresh token`。 ##### (d) 返回响应 如果一切正常,服务器将以 JSON 格式返回如下结构的数据: ```json { "access_token": "new_access_token", "token_type": "Bearer", "expires_in": 3600, "refresh_token": "optional_new_refresh_token" } ``` 字段说明: - `access_token`: 新生成的短期令牌。 - `token_type`: 令牌类型,一般为 Bearer。 - `expires_in`: 访问令牌有效期(秒数)。 - `refresh_token`: (可选)新生成的长期令牌。 #### 4. 安全注意事项 为了防止恶意攻击者滥用 `refresh token`,应采取以下措施: - 使用 HTTPS 加密通信以保障传输安全性。 - 对 `refresh token` 设定合理的生存周期,并定期轮换。 - 在检测到异常行为时立即撤销对应的 `refresh token`[^3]。 --- ### 示例代码 下面是一段简单的 Python 脚本演示如何利用 `requests` 库完成一次 `refresh token` 请求: ```python import requests def refresh_tokens(refresh_token, client_id, client_secret): url = 'https://authorization-server.com/oauth/token' payload = { 'grant_type': 'refresh_token', 'client_id': client_id, 'client_secret': client_secret, 'refresh_token': refresh_token } response = requests.post(url, data=payload) if response.status_code == 200: tokens = response.json() return tokens['access_token'], tokens.get('refresh_token') else: raise Exception(f"Failed to refresh token: {response.text}") # Example usage try: new_access_token, new_refresh_token = refresh_tokens( refresh_token='old_refresh_token', client_id='app_client_id', client_secret='app_client_secret' ) print("New Access Token:", new_access_token) except Exception as e: print(e) ``` ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值