WEB安全(十二)token的续签问题-即动态刷新token,避免用户经常重新登录
token有效期一般都设置得很短,那么token过期后如何动态刷新token,避免用户经常重新登录呢?
来看个具体需求:
超过2个小时后,用户没有请求,则需要重新登录。
这个需求一般有两种实现方式。
方式一 每次请求都返回新 token
假设一个 token 的签发时间为 12:00,需求为 2h 未进行请求即过期。则设置有效期 2h,那么每次请求都会把一个 token 换成一个新 token。如果 2h 没有进行请求,那么上一次请求的到的 token 就会过期,需要重新登录。不断签就能一直使用下去。
这种方式实现思路很简单,但开销比较大。
问题一:每次都刷新 token,带来的性能影响如何?
以前每次请求,需要进行一次 token 签名校验,而现在是要签发一个新 token,进行的都是一次签名运算,那么运算量即从 n 变成 2n。
其次,每次刷新都要把旧 token 加入黑名单,会导致黑名单特别大。
问题二:每次都刷新 token,并发请求时会不会因为 token 刷新而导致只有一个请求成功?
答案是确实会导致这个问题,怎么解决呢?设置一个宽限时间,每次 token 刷新后,原来逻辑应该是立刻不可用,现在设置一个宽限时间,让其在 n 秒之内仍然可用即可。
方式二 用户登录返回两个 token
第一个是 accessToken ,它的过期时间 token 本身的过期时间2个小时,另外一个是 refreshToken 它的过期时间更长一点比如为1天。客户端登录后,将 accessToken和refreshToken 保存在本地,每次访问将 accessToken 传给服务端。服务端校验 accessToken 的有效性,如果过期的话,就将 refreshToken 传给服务端。如果有效,服务端就生成新的 accessToken 给客户端。否则,客户端就重新登录即可。
该方案的不足是:
1、需要客户端来配合;
2、用户注销的时候需要同时保证两个 token 都无效;
3、重新请求获取 token 的过程中会有短暂 token 不可用的情况(可以通过在客户端设置定时器,当accessToken 快过期的时候,提前去通过 refreshToken 获取新的accessToken)
WEB安全(十二)token的续签问题-即动态刷新token,避免用户经常重新登录相关推荐
- 专题开发十二:JEECG微云快速开发平台-基础用户权限
专题开发十二:JEECG微云快速开发平台-基础用户权限 11.3.4自定义按钮权限 Jeecg中,目前按钮权限设置,是通过对平台自己封装的按钮标签(<t:dgFunOpt等)进行设置.而在开 ...
- 专题开发十二:JEECG微云高速开发平台-基础用户权限
专题开发十二:JEECG微云高速开发平台-基础用户权限 11.3.4自己定义button权限 Jeecg中.眼下button权限设置,是通过对平台自己封装的button标签(<t:dgFun ...
- javaweb学习总结(二十二):基于Servlet+JSP+JavaBean开发模式的用户登录注册
一.Servlet+JSP+JavaBean开发模式(MVC)介绍 Servlet+JSP+JavaBean模式(MVC)适合开发复杂的web应用,在这种模式下,servlet负责处理用户请求,jsp ...
- 使用 jQuery Mobile 与 HTML5 开发 Web App (十二) —— jQuery Mobile 页面事件与 deferred
在系列的上一篇文章<使用 jQuery Mobile 与 HTML5 开发 Web App -- jQuery Mobile 事件详解>中,Kayo 介绍了除页面事件外的其他 jQuery ...
- 「第十二章」Web框架安全
「第三篇」服务器端应用安全批注[--] 表示他人.自己.网络批注参考资料来源于* 书中批注* CSDN* GitHub* Google* 维基百科* YouTube* MDN Web Docs由于编写 ...
- springcloud 微服务鉴权_springcloud 微服务权限校验JWT模式获取 token 实战(十二)...
springcloud 微服务权限校验JWT模式获取 token 实战(十二) springcloud 微服务权限校验JWT模式获取 token 实战(十二) JWT:json web token 是 ...
- 开源web框架django知识总结(二十二)
开源web框架django知识总结(二十二) 支付 提示: 如果用户选择的支付方式是 "支付宝" ,在点击<去支付>时对接支付宝的支付系统. 支付宝介绍 支付宝开放平台 ...
- Kali Linux Web 渗透测试— 第十二课-websploit
Kali Linux Web 渗透测试- 第十二课-websploit 文/玄魂 目录 Kali Linux Web 渗透测试- 第十二课-websploit..................... ...
- Web框架——Flask系列之Flask创建app对象 路由(十二)
一.初始化参数 import_name: 当前模块名 static_url_path:静态资源的url前缀,默认为'static' static_folder: 静态文件目录名,默认'static' ...
最新文章
- Nature:功能微生物组研究典范—采用甘露糖苷选择性抑制尿路致病性大肠杆菌...
- 教你识别:虚拟内存和物理内存的区别
- web前端之JavaScript
- 24.下拉列表的交互事件
- 中国移动如何开具并下载打印电子发票?
- 程序员自我修养的4个阶段
- access 打印预览 代码_TSC TTP-244条码打印机如何批量打印二维码
- POJ1067 取石子游戏 跪跪跪,很好的博弈论
- 牛逼!终于有人开源了一份基于SSM框架实现了支付宝支付功能的完整源代码......
- js判断IE浏览器的方法
- 迅捷PDF虚拟打印机怎么打印成pdf文件
- DataBufferLimitException: Exceeded limit on max bytes to buffer : 262144
- 联邦学习-安全树模型 SecureBoost之终章
- 如何构建OctoberCMS Widget插件
- 花好明月夜,美和易思祝您元宵节快乐!
- 改变PS1变量的颜色
- HDOJ Saving HDU JAVA 2111
- 虚拟机安装Linux教程
- Linux运维人员成长之路必学书籍资料推荐
- 考研数学-基础阶段几何串讲1主讲人:王淳 -2020年06月26日
热门文章
- 齐博CMSV7任意文件读取漏洞批量测试POC
- DA14580软件开发平台参考(三)
- vite下,修改node_modules源码后,在浏览器源码中看不到改动的内容
- 如何使用计算机制作表格,怎么在电脑上制作表格? 教你使用word和Excel做表格
- 微生物网络构建原理: SparCC, MENA, LSA, CoNet
- 【运维面试】k8s的node是靠什么来管理的?
- 哪里有c语言教学视频,C语言教学视频(共32课更新完毕)(献给所有的爱好计算机的同学)(更新c+)...
- 【MySQL】那些年我们玩过的MySQL错误日志-error log
- Subversion的svnsync热备份
- 在线文字转语音哪个比较好