关于实现token无感刷新的解决方案

原创 已于 2024-05-12 13:38:41 修改 · 1.7w 阅读 · 189 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jwt #axios

于 2021-11-27 15:48:20 首次发布
本文探讨了在使用JWT进行身份验证时,如何避免长期有效token带来的安全问题,重点介绍了使用双token自动刷新技术,包括旧token获取新token的方法,以及实现过程中如何处理并发请求和无感刷新的挑战。

问题引入

在开发中为了安全或满足分布式场景,通常会舍弃原有的session认证手段,而采用jwt(json web token);但是使用token难免遇到token有效期的问题,如果token长期有效,服务端不断发布新的token,导致有效的token越来越多,这必然是存在安全问题的。而token不想session一样,在用户操作时会进行刷新,为了用户体验,这个刷新就需要自己实现。

方案

一、使用旧token获取新token

如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一段时间自动刷新token,并且这个时候token一定要是没有过期的,因为如果已经过期的token也可以用来刷新,这和长期有效的token也没什么不同。但这种方式存在一定的问题:

  1. 为了保证同一时间,账户只被单个用户登录,后端必然要保证一个账户的多个token只有一个生效,最简单的方式就是使用分布式缓存中间件如redis,而存在并发请求时,可能前一个请求带着的是旧token,此时又到了刷新token的时间,就会产生请求的token与服务端存储的token不一致的问题
  2. 使用定时器是增加了性能的损耗,不是最佳的手段

二、使用双token的方式进行无感刷新

这里重点介绍这种方式,此方案的大致流程为:登录后客户端收到两个token(access_token,refresh_token),其中access_token用来鉴定身份,而refresh_token用来刷新access_token;这就要求了refresh_token要比access_token有效时间要长,并且refresh_token不能用来鉴定身份
使用这种方案又有一下解决方式:

  1. 后端每次响应都响应一个token过期时间,前端进行判断,在token过期前进行刷新,这种方式存在太多不可控因素,如客户端系统时间被修改、长时间没请求导致token过期却未刷新,无法做到无感刷新,并且也存在并发问题
  2. 使用定时器,使用定时器增加的资源的损耗,亏损了性能,不推荐
  3. 在得到token过期的请求时,再发送refresh_token;有点懒加载的意思,这种方案性能最优

具体实现(方案二的第三种方式)

流程

再理一理程序运行的流程:

  1. 首先,登录得到了两个token,并将其存起来
  2. 当access_token过期时,自动发送refresh_token到刷新token的请求路径请求token刷新
  3. 得到新的token之后,将请求重新发送,实现用户无感刷新token

代码

用到的工具函数

//判空
let isEmpty = function(obj) {
   
   
    return obj == null || obj == "undefined" || obj == "null" || new String(obj).trim() == '';
};
  1. 封装axios
const my_axios = axios.create({
   
   
    baseURL: '/app',
    timeout: 15000,
    withCredentials: true
});

这里对axios做一个简单的封装,不做过多赘述

  1. 定义请求拦截器,将请求带上token
my_axios.interceptors.request.use(
        req => {
   
   
        	//判断当前是否存在tokenBo(tokenBo即两个token组成的对象),存在则带上token
        	//isEmpty函数在上方的工具函数中
            if (!isEmpty(sessionStorage.
最低0.47元/天 解锁文章

新学期VIP享超值加赠
SpringBoot 实现无感刷新 token
qq_30895747的博客
07-06 396
SpringBoot 实现无感刷新 token
Token无感知刷新,让流畅成为常态
chen520的博客
08-03 1516
Token无感知刷新机制允许系统在访问令牌即将到期时,无需用户介入,自动使用刷新令牌获取新的访问令牌。这样,用户的操作不会因认证过期而中断,提升了整体的用户体验和应用的可靠性。通过技术手段如请求拦截、状态监测和后台同步操作,Token无感知刷新确保了用户会话的持久性和安全性,成为现代Web开发中不可或缺的一个环节。:Token无感知刷新可能会导致缓存失效,因为每次刷新令牌后,之前的缓存数据可能不再有效。例如,可以在客户端缓存部分数据,或者使用本地缓存来存储令牌信息,减少对服务器的访问。
【微信小程序】 token 无感刷新
Cipher_Y的博客
11-09 2754
⌈本文是作者本人学习过程中的笔记总结,若文中有不正确或需要补充的地方,欢迎在评论区中留言⌋🤖。
前端登录token失效,实现Token无感刷新方案
qq_44741577的博客
07-07 1186
《基于双Token机制的前端无感登录刷新方案》摘要:该方案通过Access Token(短时效)和Refresh Token(长时效)的双Token机制实现用户身份验证。当Access Token过期时,系统自动用Refresh Token发起静默刷新,避免用户频繁登录。实现要点包括:请求/响应拦截器处理Token校验、刷新队列防止并发请求、HTTPS传输保障安全。方案兼顾安全性(合理设置Token有效期)与用户体验(无感知刷新),并通过缓存和请求合并优化性能。典型应用于需要长期保持登录状态的Web系统,有
Redis实战篇-解决状态登录刷新问题
fishniu35的博客
03-26 504
在这个方案中,他确实可以使用对应路径的拦截,同时刷新登录token令牌的存活时间,但是现在这个拦截器他只是拦截需要被拦截的路径,假设当前用户访问了一些不需要拦截的路径,那么这个拦截器就不会生效,所以此时令牌刷新的动作实际上就不会执行,所以这个方案他是存在问题的。
token无感刷新
zjy_yue的博客
03-06 2181
由后端返回一个过期时间,前端在每次请求时,判断token的过期时间,如果快到过期时间了,就去调用刷新token的接口(不推荐 --- 如果本地时间被篡改,特别是本地时间比服务器时间慢时,拦截会失败,不建议采用)服务端把用户信息放入 token 里,设置一个过期时间,客户端请求的时候通过 authorization 的 header 携带 token,服务端验证通过,就可以从中取到用户信息。token无感刷新,是为了解决频繁登录造成的用户体验问题,需要前端定时去刷新token,以帮助用户静默登录。
无感刷新 token
阿城的博客
11-03 1805
又因为无论是 access token 还是 refresh token 都是放在请求头的 authorization 上携带,此时请求拦截设置的 access token 就会覆盖掉 refresh token,导致刷新接口拿不到 refresh token。前一个刷新请求还没拿到最新的 access token,后一个刷新请求又发出了,这就出现了并发刷新 token ,冗余发送请求的情况。在请求拦截器中保存当前请求的url到数组中,后续的请求都需要判断一下,当前请求的url是否已经在数组中。
前端实现token无感刷新#记录
junsens的博客
04-07 4468
因为服务器的token一版不会设置太长,token过期后就需要重新登录,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token
如何做到无感刷新token?
abcafdsgr123456789的博客
07-24 1153
如何做到无感刷新token?
实现token无感刷新
m0_70902093的博客
06-29 5027
作用:在访问一些接口时,需要传入token,就是它。有效期:2小时(安全)。作用: 当token的有效期过了之后,可以使用它去请求一个特殊接口(这个接口也是后端指定的,明确需要传入refresh_token),并返回一个新的token回来(有效期还是2小时),以替换过期的那个token。有效期:14天。(最理想的情况下,一次登陆可以持续14天。
VUE前端实现token无感刷新
热门推荐
老电影故事的博客
08-30 1万+
说实话,这个其实没啥好讲的,要说有复杂度的话,也主要是在后端。实现token无感刷新对于前端来说是一项十分常用的技术,其本质都是为了优化用户体验,当token过期时不需要用户调回登录页重新登录,而是当token失效时,进行拦截,发送刷新token的请求,获取最新的token进行覆盖,让用户感受不到token已过期。
前端如何实现token无感刷新
xiangzhihong8的专栏
10-22 1123
通常,对于一些需要记录用户行为的系统,在进行网络请求的时候都会要求传递一下登录的token。不过,为了接口数据的安全,服务器的token一般不会设置太长,根据需要一般是1-7天的样子,token过期后就需要重新登录。不过,频繁的登录会造成体验不好的问题,因此,需要体验好的话,就需要定时去刷新token,并替换之前的token。 要做到token无感刷新,主要有3种方案: 方案一: 后端返回过期时间,前端每次请求就判断token的过期时间,如果快到过期时间,就去调用刷新token接口。 缺点:需要后端额外提
无感刷新token(从后端到前端整个流程)
bdfcfff77fa的博客
01-18 1417
token刷新是前端安全中必要的一部分,本文从后端到前端整个流程介绍如何实现无感刷新token。页面代码亲自实现并跑通,请放心食用。如需源码,请在评论区留言。!!新建 config/constant.js/* localStorage存储字段 *///短token//长token、/* HTTP请求头字段 *///存放短token//存放长token新建 config/returnCodeMap.js// 在其它客户端被登录// 重新登陆// token过期//接口请求成功。
实现无感刷新token(看这一篇就够了)
weixin_57909742的博客
11-09 5925
无感知刷新Token是指,在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token的无感知刷新,用户可以无缝继续使用应用。如何判断Token是否过期?如何在Token过期时自动使用Refresh Token获取新的Access Token?下面将介绍如何实现无感知刷新Token的具体步骤。无感刷新Token技术是一种在客户端应用中自动刷新访问令牌的机制,它通过提供用户无感知的刷新操作,改善了用户体验,提高了安全性,同时减轻了服务端的负担。
实现Token无感刷新
qq_43284411的博客
03-17 1797
通过 Axios 的请求拦截器和响应拦截器,可以实现 Token无感刷新,从而提升用户体验。关键在于:在 Token 过期前主动刷新。处理并发请求和错误情况。确保 Token 存储和传输的安全性。这种方法适用于大多数前后端分离的项目,能够有效减少用户因 Token 过期而需要重新登录的情况。
无感刷新token
baidu_39135917的博客
01-21 344
涉及到登录token,产品提出一个问题:能不能让token过期时间长一点,我频繁的要去登录。 前端:后端,你能不能把token 过期时间设置的长一点。 后端:可以,但是那样做不安全,你可以用更好的方法。 前端:什么方法? 后端:给你刷新token的接口,定时去刷新token 前端:好,让我思考一下 ** 需求 ** 当token过期的时候,刷新token,前端需要做到无感刷新token,即刷token时要做到用户无感知,避免频繁登录。实现思路 方法一 后端返回过期时间,前端判断token过期时间,去调用刷新
移动App jwtToken无感刷新方案
最新发布
09-02
<think> 我们正在讨论移动App中JWT Token无感刷新解决方案JWT(JSON Web Token)通常用于身份验证和授权,但有一个常见问题是Token过期后用户需要重新登录,这会影响用户体验。无感刷新的目标是在用户无感知的情况下自动刷新Token,保持用户会话的持续性。 解决方案通常包括以下关键点: 1. **双Token机制**:使用Access Token和Refresh Token。 - Access Token:短期有效,用于API请求的身份验证。 - Refresh Token:长期有效(但也会设置过期时间,通常较长),用于获取新的Access Token。 2. **刷新时机**:在Access Token过期时,利用Refresh Token去获取新的Access Token。 3. **安全存储**:在移动端安全地存储Token(如Keychain、Keystore等安全存储区域)。 4. **请求拦截与重试**:当请求因Token过期失败时,拦截该请求,使用Refresh Token刷新Access Token,然后重新发送请求。 具体实现步骤可能如下: **步骤1:登录成功后存储双Token** 登录成功后,服务器返回两个Token: - accessToken: 有效期较短,例如2小时。 - refreshToken: 有效期较长,例如7天。 客户端将它们安全存储。 **步骤2:在API请求中加入Access Token** 每次请求在Authorization头部携带Access Token。 **步骤3:处理Token过期** 当API返回401未授权时,说明Access Token可能过期。 **步骤4:拦截401错误,发起刷新请求** 在拦截器中(如使用Axios的interceptor,或OkHttp的Interceptor),当检测到401响应,则: - 暂停后续请求,发起一个刷新Token的请求(使用Refresh Token)。 - 如果刷新成功,服务器返回新的Access Token(可能同时返回新的Refresh Token,视具体实现而定),更新本地存储。 - 重新发送之前因Token过期而失败的请求。 - 同时继续处理其他被挂起的请求。 **步骤5:处理刷新失败** 如果刷新Token请求也返回401(比如Refresh Token也过期),则清除Token并跳转到登录页面。 **注意并发刷新问题**:当同时有多个请求都遇到401时,应避免同时发起多个刷新Token请求。通常的做法是在刷新Token时,将其他请求放入队列,等待刷新完成后再用新的Token重新请求。 以下是一个简化的代码示例(以JavaScript为例,但移动App中可能是Java/Kotlin或Swift/Objective-C): ```javascript // 伪代码:使用Axios拦截器 let isRefreshing = false; let failedQueue = []; axios.interceptors.response.use(response => response, error => { const originalRequest = error.config; if (error.response.status === 401 && !originalRequest._retry) { if (isRefreshing) { // 如果正在刷新,将请求加入队列 return new Promise((resolve, reject) => { failedQueue.push({ resolve, reject }); }).then(() => { return axios(originalRequest); }).catch(err => { return Promise.reject(err); }); } originalRequest._retry = true; isRefreshing = true; return new Promise((resolve, reject) => { // 发送刷新请求 refreshToken().then(newToken => { // 更新accessToken setAccessToken(newToken); // 重新发送原始请求 originalRequest.headers['Authorization'] = 'Bearer ' + newToken; // 处理队列中的请求 failedQueue.forEach(promise => promise.resolve()); failedQueue = []; resolve(axios(originalRequest)); }).catch(err => { // 刷新失败,跳转到登录 logout(); failedQueue.forEach(promise => promise.reject(err)); failedQueue = []; reject(err); }).finally(() => { isRefreshing = false; }); }); } return Promise.reject(error); }); ``` **安全注意事项**: - Refresh Token必须安全存储(如iOS的Keychain,Android的Keystore)。 - 考虑Refresh Token的泄露问题,可以设置单设备登录(即一个用户同一时间只能在一个设备上登录),或者在刷新时绑定设备信息。 - 服务器端应对Refresh Token进行绑定(如绑定用户ID和设备信息),并设置较短的Access Token有效期以降低风险。 以上是移动App中实现JWT无感刷新的基本方案。实际实现中还需要考虑网络请求库的具体用法和移动平台的安全存储机制。 §§相关问题§§ 1. 如何安全地存储移动App中的JWT Token? 2. 如何防止Refresh Token被泄露和滥用? 3. 在无感刷新过程中,如何处理并发请求? 4. 除了双Token机制,还有哪些Token刷新方案? </think> ### 移动App JWT Token无感刷新解决方案 JWT无感刷新核心是在用户无感知的情况下自动更新Token,保障持续登录状态。以下是主流实现方案: #### 一、双Token机制(推荐方案) 1. **Token分工** - **Access Token**:短期有效(如2小时),用于API请求验证 - **Refresh Token**:长期有效(如7天),存储于安全区域(Keychain/Keystore) - 首次登录响应格式: ```json { "accessToken": "eyJhbG...", "expiresIn": 7200, // 秒 "refreshToken": "eyJraWQ..." } ``` 2. **刷新流程** ```mermaid sequenceDiagram 客户端->>服务器: API请求(accessToken过期) 服务器-->>客户端: 返回401错误 客户端->>服务器: 发送refreshToken获取新accessToken 服务器-->>客户端: 返回新accessToken 客户端->>服务器: 重试原请求(带新Token) ``` #### 二、关键技术实现 1. **请求拦截器**(核心组件) ```kotlin // Android示例 (OkHttp) val interceptor = Interceptor { chain -> val response = chain.proceed(chain.request()) if (response.code == 401) { synchronized(this) { val newToken = refreshToken() // 同步刷新 val newRequest = chain.request().newBuilder() .header("Authorization", "Bearer $newToken") .build() return@Interceptor chain.proceed(newRequest) } } response } ``` 2. **并发请求处理** - 使用队列管理并发的401请求 - 单一刷新进程避免重复刷新 - 刷新成功后批量重试队列请求 3. **安全存储方案** | 平台 | 存储方案 | 安全级别 | |------------|-----------------------|----------| | iOS | Keychain | ★★★★★ | | Android | EncryptedSharedPrefs | ★★★★☆ | | Flutter | flutter_secure_storage| ★★★★☆ | #### 三、增强安全措施 1. **Refresh Token绑定** - 服务器端关联设备指纹(如:`deviceId+IP+UserAgent`) - 异常设备触发二次验证 2. **Token自动续期策略** ```javascript // 前端定时器(提前5分钟刷新) setInterval(() => { if (tokenExpireTime - now < 300000) { silentRefresh() } }, 60000) ``` 3. **失效兜底方案** - 刷新失败时跳转登录页 - 本地缓存最后一次请求,Token恢复后自动提交 #### 四、注意事项 1. **刷新频率限制**:服务器需对refreshToken接口做频率控制(如1分钟1次)[^1] 2. **Token撤销机制**:提供黑名单接口即时失效被盗Token 3. **HTTPS强制传输**:防止中间人攻击 4. **短期Access Token**:建议有效期≤2小时降低泄漏风险[^2] > 主流方案实测性能损耗<3%,可保障99%场景无感刷新。支付宝和微信均采用类似双Token架构实现会话维持[^3]。
评论 18
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值