本文目錄一覽:
JWT生成token及過期處理方案
## 業務場景
在前後分離場景下,越來越多的項目使用token作為介面的安全機制,APP端或者WEB端(使用VUE、REACTJS等構建)使用token與後端介面交互,以達到安全的目的。本文結合stackoverflow以及本身項目實踐,試圖總結出一個通用的,可落地的方案。
## 基本思路
– 單個token
1. token(A)過期設置為15分鐘
2. 前端發起請求,後端驗證token(A)是否過期;如果過期,前端發起刷新token請求,後端設置已再次授權標記為true,請求成功
3. 前端發起請求,後端驗證再次授權標記,如果已經再次授權,則拒絕刷新token的請求,請求成功
4. 如果前端每隔72小時,必須重新登錄,後端檢查用戶最後一次登錄日期,如超過72小時,則拒絕刷新token的請求,請求失敗
– 授權token加上刷新token
用戶僅登錄一次,用戶改變密碼,則廢除token,重新登錄
## 1.0實現
1.登錄成功,返回access\_token和refresh\_token,客戶端緩存此兩種token;
2.使用access_token請求介面資源,成功則調用成功;如果token超時,客戶端
攜帶refresh\_token調用中間件介面獲取新的access\_token;
3.中間件接受刷新token的請求後,檢查refresh_token是否過期。
如過期,拒絕刷新,客戶端收到該狀態後,跳轉到登錄頁;
如未過期,生成新的access\_token和refresh\_token並返回給客戶端(如有可能,讓舊的refresh\_token失效),客戶端攜帶新的access\_token重新調用上面的資源介面。
4.客戶端退出登錄或修改密碼後,調用中間件註銷舊的token(使access\_token和refresh\_token失效),同時清空客戶端的access\_token和refresh\_toke。
後端表
id user\_id client\_id client\_secret refresh\_token expire\_in create\_date del_flag
## 2.0實現
場景: access\_token訪問資源 refresh\_token授權訪問 設置固定時間X必須重新登錄
1.登錄成功,後台jwt生成access\_token(jwt有效期30分鐘)和refresh\_token(jwt有效期15天),並緩存到redis(hash-key為token,sub-key為手機號,value為設備唯一編號(根據手機號碼,可以人工廢除全部token,也可以根據sub-key,廢除部分設備的token。),設置過期時間為1個月,保證最終所有token都能刪除),返回後,客戶端緩存此兩種token;
2.使用access\_token請求介面資源,校驗成功且redis中存在該access\_token(未廢除)則調用成功;如果token超時,中間件刪除access\_token(廢除);客戶端再次攜帶refresh\_token調用中間件介面獲取新的access_token;
3.中間件接受刷新token的請求後,檢查refresh_token是否過期。
如過期,拒絕刷新,刪除refresh_token(廢除); 客戶端收到該狀態後,跳轉到登錄頁;
如未過期,檢查緩存中是否有refresh\_token(是否被廢除),如果有,則生成新的access\_token並返回給客戶端,客戶端接著攜帶新的access_token重新調用上面的資源介面。
4.客戶端退出登錄或修改密碼後,調用中間件註銷舊的token(中間件刪除access\_token和refresh\_token(廢除)),同時清空客戶端側的access\_token和refresh\_toke。
5.如手機丟失,可以根據手機號人工廢除指定用戶設備關聯的token。
6.以上3刷新access_token可以增加根據登錄時間判斷最長X時間必須重新登錄,此時則拒絕刷新token。(拒絕的場景:失效,長時間未登錄,頻繁刷新)
2.0 變動
1.登錄
2.登錄攔截器
3.增加刷新access_token介面
4.退出登錄
5.修改密碼
## 3.0實現
場景:自動續期 長時間未使用需重新登錄
1.登錄成功,後台jwt生成access\_token(jwt有效期30分鐘),並緩存到redis(hash-key為access\_token,sub-key為手機號,value為設備唯一編號(根據手機號碼,可以人工廢除全部token),設置access_token過期時間為7天,保證最終所有token都能刪除),返回後,客戶端緩存此token;
2.使用access\_token請求介面資源,校驗成功且redis中存在該access\_token(未廢除)則調用成功;如果token超時,中間件刪除access\_token(廢除),同時生成新的access\_token並返回。客戶端收到新的access_token,
再次請求介面資源。
3.客戶端退出登錄或修改密碼後,調用中間件註銷舊的token(中間件刪除access\_token(廢除)),同時清空客戶端側的access\_token。
4.以上2 可以增加根據登錄時間判斷最長X時間必須重新登錄,此時則拒絕刷新token。(拒絕的場景:長時間未登錄,頻繁刷新)
5.如手機丟失,可以根據手機號人工廢除指定用戶設備關聯的token。
3.0 變動
1.登錄
2.登錄攔截器
3.退出登錄
4.修改密碼
1.3 場景:token過期重新登錄 長時間未使用需重新登錄
1.登錄成功,後台jwt生成access\_token(jwt有效期7天),並緩存到redis,key為 “user\_id:access\_token”,value為access\_token(根據用戶id,可以人工廢除指定用戶全部token),設置緩存過期時間為7天,保證最終所有token都能刪除,請求返回後,客戶端緩存此access_token;
2.使用access\_token請求介面資源,校驗成功且redis中存在該access\_token(未廢除)則調用成功;如果token超時,中間件刪除access\_token(廢除),同時生成新的access\_token並返回。客戶端收到新的access_token,
再次請求介面資源。
3.客戶端退出登錄或修改密碼後,調用中間件註銷舊的token(中間件刪除access\_token(廢除)),同時清空客戶端側的access\_token。
4.以上2 可以增加根據登錄時間判斷最長X時間必須重新登錄,此時則拒絕刷新token。(拒絕的場景:長時間未登錄,頻繁刷新)
5.如手機丟失,可以根據手機號人工廢除指定用戶設備關聯的token。
1.3 變動
1.登錄
2.登錄攔截器
3.退出登錄
4.修改密碼
# 解決方案
2.0 場景: access\_token訪問資源 refresh\_token授權訪問 設置固定時間X必須重新登錄
1.登錄成功,後台jwt生成access\_token(jwt有效期30分鐘)和refresh\_token(jwt有效期15天),並緩
存到redis(hash-key為token,sub-key為手機號,value為設備唯一編號(根據手機號碼,可以人工廢除全
部token,也可以根據sub-key,廢除部分設備的token。),設置過期時間為1個月,保證最終所有token都
能刪除),返回後,客戶端緩存此兩種token;
2.使用access\_token請求介面資源,校驗成功且redis中存在該access\_token(未廢除)則調用成功;如果
token超時,中間件刪除access\_token(廢除);客戶端再次攜帶refresh\_token調用中間件介面獲取新的
access_token;
3.中間件接受刷新token的請求後,檢查refresh_token是否過期。
如過期,拒絕刷新,刪除refresh_token(廢除); 客戶端收到該狀態後,跳轉到登錄頁;
如未過期,檢查緩存中是否有refresh\_token(是否被廢除),如果有,則生成新的access\_token並返回給
客戶端,客戶端接著攜帶新的access_token重新調用上面的資源介面。
4.客戶端退出登錄或修改密碼後,調用中間件註銷舊的token(中間件刪除access\_token和refresh\_token(
廢除)),同時清空客戶端側的access\_token和refresh\_toke。
5.如手機丟失,可以根據手機號人工廢除指定用戶設備關聯的token。
6.以上3刷新access_token可以增加根據登錄時間判斷最長X時間必須重新登錄,此時則拒絕刷新token。(
拒絕的場景:失效,長時間未登錄,頻繁刷新)
2.0 變動
1.登錄
2.登錄攔截器
3.增加刷新access_token介面
4.退出登錄
5.修改密碼
3.0 場景:自動續期 長時間未使用需重新登錄
1.登錄成功,後台jwt生成access_token(jwt有效期30分鐘),並緩存到redis(hash-key為
access_token,sub-key為手機號,value為設備唯一編號(根據手機號碼,可以人工廢除全部token,也可以
根據sub-key,廢除部分設備的token。),設置access_token過期時間為1個月,保證最終所有token都能刪
除),返回後,客戶端緩存此token;
2.使用access\_token請求介面資源,校驗成功且redis中存在該access\_token(未廢除)則調用成功;如果
token超時,中間件刪除access\_token(廢除),同時生成新的access\_token並返回。客戶端收到新的
access_token,
再次請求介面資源。
3.客戶端退出登錄或修改密碼後,調用中間件註銷舊的token(中間件刪除access_token(廢除)),同時清
空客戶端側的access_token。
4.以上2 可以增加根據登錄時間判斷最長X時間必須重新登錄,此時則拒絕刷新token。(拒絕的場景:長
時間未登錄,頻繁刷新)
5.如手機丟失,可以根據手機號人工廢除指定用戶設備關聯的token。
3.0 變動
1.登錄
2.登錄攔截器
3.退出登錄
4.修改密碼
4.0 場景:token過期重新登錄 長時間未使用需重新登錄
1.登錄成功,後台jwt生成access_token(jwt有效期7天),並緩存到redis,key為
“user\_id:access\_token” + 用戶id,value為access_token(根據用戶id,可以人工廢除指定用戶全部
token),設置緩存過期時間為7天,保證最終所有token都能刪除,請求返回後,客戶端緩存此
access_token;
2.使用access\_token請求介面資源,校驗成功且redis中存在該access\_token(未廢除)則調用成功;如果
token超時,中間件刪除access\_token(廢除),同時生成新的access\_token並返回。客戶端收到新的
access_token,
再次請求介面資源。
3.客戶端退出登錄或修改密碼後,調用中間件註銷舊的token(中間件刪除access_token(廢除)),同時清
空客戶端側的access_token。
4.以上2 可以增加根據登錄時間判斷最長X時間必須重新登錄,此時則拒絕刷新token。(拒絕的場景:長
時間未登錄,頻繁刷新)
5.如手機丟失,可以根據手機號人工廢除指定用戶設備關聯的token。
4.0 變動
1.登錄
2.登錄攔截器
3.退出登錄
4.修改密碼
## 最終實現
### 後端
1. 在登錄介面中 如果校驗賬號密碼成功 則根據用戶id和用戶類型創建jwt token(有效期設置為-1,即永不過期),得到A
2. 更新登錄日期(當前時間new Date()即可)(業務上可選),得到B
3. 在redis中緩存key為ACCESS_TOKEN:userId:A(加上A是為了防止用戶多個客戶端登錄 造成token覆蓋),value為B的毫秒數(轉換成字元串類型),過期時間為7天(7 * 24 * 60 * 60)
4. 在登錄結果中返回json格式為{“result”:”success”,”token”: A}
5. 用戶在介面請求header中攜帶token進行登錄,後端在所有介面前置攔截器進行攔截,作用是解析token 拿到userId和用戶類型(用戶調用業務介面只需要傳token即可),
如果解析失敗(拋出SignatureException),則返回json(code = 0 ,info= Token驗證不通過, errorCode = ‘1001’);
此外如果解析成功,驗證redis中key為ACCESS_TOKEN:userId:A 是否存在 如果不存在 則返回json(code = 0 ,info= 會話過期請重新登錄, errorCode = ‘1002’);
如果緩存key存在,則自動續7天超時時間(value不變),實現頻繁登錄用戶免登陸。
6. 把userId和用戶類型放入request參數中 介面方法中可以直接拿到登錄用戶信息
7. 如果是修改密碼或退出登錄 則廢除access_tokens(刪除key)
### 前端(VUE)
1. 用戶登錄成功,則把username存入cookie中,key為loginUser;把token存入cookie中,key為accessToken
把token存入Vuex全局狀態中
2. 進入首頁
token已過期是什麼意思?
token已過期是證書已過期的意思。
token在互聯網行業代表的是身份令牌。即登錄之後系統分發的一個代表這個用戶的一個證書,這個證書是有時效的,如果時效結束了就會出現這個token失效的情況,要解決這個問題,如果是手機端的話,退出登錄在重新登錄一次即可。
證書最大的作用就是證明,但是由於造假水平的提高,目前90%之上的證書都急需證明,需要一個技術平台來提高防偽能力,那就是「證書上網查詢」一個公用的平台,同時也需要保護個人隱私。
擴展資料
數據處理
token其實說的更通俗點可以叫暗號,在一些數據傳輸之前,要先進行暗號的核對,不同的暗號被授權不同的數據操作。例如在USB1.1協議中定義了4類數據包:token包、data包、handshake包和special包。
主機和USB設備之間連續數據的交換可以分為三個階段,第一個階段由主機發送token包,不同的token包內容不一樣(暗號不一樣)可以告訴設備做不同的工作,第二個階段發送data包,第三個階段由設備返回一個handshake包。
token過期是什麼意思?
銀行token過期就是說明代表證書過期的意思。
需重新調用授權界面,重新獲取code,然後刷新獲取新的accesstoken、refreshtoken、expirein,再將這些替換掉關聯表中的數據。
token是用戶登陸銀行系統之後,系統分發的代表這個用戶身份的一個證書。這個證書是有時效的,如果時效結束就會出現token失效的提示,這時可以嘗試退出重新登錄。
token在互聯網行業代表的是身份令牌。就是登陸之後系統分發的一個代表這個用戶的一個證書,這個證書是有時效的,如果時效結束了就會出現這個token失效的情況,要解決這個問題,如果是手機端的話,退出登陸在重新登陸一次就好了。
Accesstoken的有效期是一個月,refreshtoken的有效期是兩個月,所謂的長期有效是:用refreshtoken不斷刷新得到新的,其它情況下,Accesstoken和refreshtoken,除非用戶兩個月沒有訪問過app,導致refreshtoken也失效了,這時候就需要用戶重新登錄了。
tokenid已經失效 什麼意思?
tokenid已經失效是證書過了有效期的意思,需要重新授權。
token在互聯網行業代表的是身份令百牌,是指登錄系統分發的一個代表這個用戶的一個證書,這個證書是有時效的,如果時效結束了就會出現這個token過期或者失效的情況。
tokenid表示為:用戶登錄到成功後,服務端分配給客戶端的令牌號,同時下發度tokenid的過期時間。下次用戶直接持有tokenid,在其過知期時間內均可跳過用戶登錄步驟,直接請求其他服務道操作。如果tokenid過期,則需重回新登錄。
擴展資料
Token不具備無條件使用的功能和價值尺度功能,在邏輯上不具備貨幣的全部功能。Token ring 即令牌環網。
在網路技術裡面,令牌是一種能夠控制站點佔有媒體的特殊幀,以區別數據幀及其他控制幀。
在數據處理方面,token其實說得更通俗點可以叫暗號,在一些數據傳輸之前,要先進行暗號的核對,不同的暗號被授權不同的數據操作。
例如在USB1.1協議中定義了4類數據包:token包、data包、handshake包和special包。可以分為三個階段,第一個階段由主機發送token包,不同的token包內容不一樣(暗號不一樣)可以告訴設備做不同的工作,第二個階段發送data包,第三個階段由設備返回一個handshake包。
參考資料來源:百度百科——Token——數據處理
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/242184.html
微信掃一掃 
支付寶掃一掃 