細心的你可能會發現,我們在使用app的時候只需要登陸一次賬號之后下一次打開就不需要再次登陸,但經過一段時間不登錄之后又會要求我們重新登陸,你知道這是如何實現的嗎?
雙token驗證
web前端培訓雙token1" />
具體說明如下:
1.根據需要下載軟件,完成注冊賬戶
2.登錄賬戶,后端返回 兩個token信息,分別為 access_token 以及 refresh_token,access_token稱之為短token,refresh_token稱之為長token
3.短token也就是access_token未過期,所有的請求一切都正常,用戶需要什么數據就返回什么數據
4.access_token 過期,服務端返回一個狀態碼給客戶端,客戶端接收到該狀態碼之后,使用refresh_token重新獲取一次新的 access_token 和 refresh_token,相當于重置token
5.如果在refresh_token有效期中沒有使用過該軟件,意味著refresh_token過期,使用它獲取新的 access_token 和 refresh_token 時會返回新的一個狀態碼,提示用戶必須登錄
有的人可能會有如下疑問:
為什么在使用 refresh_token 時要返回新的 access_token 和 refresh_token,而不是延長 原來的 refresh_token 有效期?
為了安全,如果一旦 refresh_token 被黑客等人員截獲到,他們就一直可以非法使用你的賬號
即使一旦被截獲,只要用戶這邊刷新就會重新獲取到新的 refresh_token,那么以前的 被截獲的 refresh_token 就會失效
token的時間設置
token的時間設置需要看需求進行劃分區別設置:
PC網絡應用:對于網絡應用程序而言,由于token可以直接直觀地獲取到,因此不管是accessToken還是refreshToken為了安全起見,其過期時間都不應該設置得很長,且需要不停地更換token,因此PC網絡應用的accessToken一般設置為2h過期,而refreshToken設置為1天到2天比較好,不足1天也是可以的,如果設置的時間比較短就在活躍期間時常刷新freshToken就好了,如果設置的時間比較長,就只需要設置一個閾值(比如7day的refreshToken設置一個6day閾值),在refreshToken小于等于這個閾值的時候就進行刷新refreshToken就好了。
手機應用:對于手機APP應用而言,登錄操作一般只做一次,因此token的過期時間必是無限,即不會過期,不過為了安全起見(比如防止你丟手機),token應該以某種程度上對用戶可見(比如在安全中心里檢驗了身份之后可以讓你看到哪些設備有token,即哪些設備會被允許登錄)并可讓用戶對其進行一定程度上的操作(比如你手機丟了,然后登錄安全中心移除那個手機的token,也就是移除那個手機的登陸權限,從而使那個手機的應用上的你的帳號強制下線)
無效的Token的處理
對于頻繁更換的Token,如何處理舊的未過期的而又無效的Token,以下提供了幾個思路:
1.簡單地從瀏覽器中移除token就好了
顯然,這種方式對于服務器方面的安全而言并沒有什么卵用,但它能通過移除存在的token來阻止攻擊者(比如,攻擊者必須在用戶下線之前竊取到token)
2.制作一張token黑/白名單
在移除了瀏覽器存儲的token后如果還想要再嚴格點,就只能在服務器上制作一張已經無效但是沒過期的token的黑/白名單了,在每次請求中都操作數據庫進行token的匹配,并以某種方式進行維護(不管是黑名單的定期刪除維護也好,白名單的無效時刪除也好),不過顯然這種方式還是違背了token無狀態的初衷,但是除此之外也沒別的辦法。
存儲可以按照userId—token的方式存儲在數據庫中(當然也可以按你喜歡添加其他字段標明其他信息,比如說mac地址啦,是手機還是電腦啦,設備型號啦,巴拉巴拉巴拉····),白名單的話直接存儲有效的token,在需要token無效的邏輯中刪除指定token即可(比如刷新token的時候把舊的無效的但未過期的刪掉)。而如果是黑名單的話就需要你定期去刪除其中已經過期的token了。而驗證的話除了要去數據庫名單里匹配之外還需要驗證token本身的有效性。
3.只需要將token的過期時間設置的足夠短就行了
如何刷新Token(引用自github)
以上就是雙token登陸驗證的介紹了,同學們不妨親自去試試,最后如果你對web前端培訓感興趣的話,不妨來千鋒WEB前端培訓班參加我們的web前端培訓課程的學習,現在咨詢更有免費學習資料可以領取,還有海量免費學習資料,趕緊去了解一下吧。
京公網安備 11010802030320號