token 机制和实现方式

前言

之前在面试的时候被问到过刷新 token 的问题,其实我对 token 验证机制的细节一直不清楚。新项目和后端的同学商量后使用刷新 token 来实现。本文主要分享一下对 token 机制的理解和实现方式。

登录验证的方式

登录验证一般来说有两个目的,一个是为了安全,一个是为了用户方便。因为 HTTP 是无状态的,所以后端在接受到请求之后并不能知道请求是从哪里来的,但是很多时候我们有验证用户身份的需求,同时前端又有保存用户登录状态的需求。而如果将用户信息保存在前端,必然是非常危险的,很容易被获取,所以就有了在后端进行非对称加密的方式来实现登录的验证和保存。

目前主要的登录验证方式有 cookie + session,token,单点登录和 OAuth 第三方登录。本文我们主要讲一讲 token 登录验证。

什么是 token

token 直译就是令牌的意思,其实就是后端将用户信息进行非对称加密,然后将加密后的内容保存在前端,当发送请求的时候带上这个令牌来实现身份验证。大致的过程是第一次登录用户输入用户名和密码,服务器验证无误后会对用户的信息进行非对称加密生成一个令牌返回给前端,前端可以存入 cookie 或者 localStorage 等,以后每次发送请求带上这个令牌,后端通过对令牌的验证来识别用户的身份以及请求的合法性。

token 的优点是服务端不需要保存 token,只需要验证前端传过来的 token 即可,所以几遍是分布式部署也可以使用这种方式。token 的缺点就是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 token 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。

目前比较常用的 token 加密方式是 JWT JSON Web Token,关于 JWT 可以参考阮一峰老师的 JSON Web Token 入门教程

token 刷新

按照上面的 token 逻辑,前端只要保存一个后端传过来的 token,每次请求附上即可。当令牌过期有两种选择,我们可以让用户冲洗你登录,或者后端生成一个新的令牌,前端保存新的令牌并重新发送请求。但是这两种方式都有问题,如果让用户重新登录,用户体验不是很好,频繁的重新登录并不是一种比较好的交互方式。而如果自动生成新的令牌则会出现安全问题,比如黑客获取了一个过期的令牌并向后端发送请求,则也可以获得一个更新的令牌。

为了权衡上面的问题,产生了一种刷新 token 的机制,当用户第一次登录成功,后端会返回两个 token,一个 accessToken 用来进行请求,也就是我们每次请求都附上 accessToken,而 refreshToken 则是用来在 accessToken 过期的时候进行 accessToken 的刷新。一般来说,accessToken 由于每次请求都会附上,所以安全风险比较高,所以过期时间较短,而 refreshToken 则只有在 accessToken 过期的时候才会发送到后端,所以安全风险相对较低,所以过期时间可以长一点。

当我们的 accessToken 过期之后,我们会向后端的 token 刷新接口请求并传入 refreshToken,后端验证梅雨问题之后会给我们一个新的 accessToken,我们保存后就可以保证访问的连续性。当然,这也并非绝对安全的,只是一种相对安全一点的做法。一般我们将两个 token 保存在 localStorage 中。

刷新 token 的实现

在项目中我主要使用的是 axios,所以 token 的刷新以及请求附带 token 都是使用的 axios 的拦截器完成的。这其中需要注意的地方有三点:

  1. 不要重复刷新 token,即一个请求已经刷新 token 了,此时可能新的 token 还没有回来,其他请求不应该重复刷新。
  2. 当新的 token 还没有回来的时候,其他的请求应该进行暂存,等新的 token 回来以后再一次进行请求。
  3. 如果请求是由登录页面或者请求本身就是刷新 token 的请求则不需要拦截,否则会陷入死循环。

第一个问题用一个 Boolean 字段加锁即可,第二个问题将请求新 token 过程中发起的请求用状态为 pendding 的 Promise 进行暂存,放到一个数组中,当新的 token 回来的时候依次 resolve 每一个 pendding 的 Promise 即可。具体的代码细节我直接贴上项目上的源码:

import axios, * as AxiosInterface from 'axios';

// Token 接口,访问 token,刷新 token 和过期时
const instance = axios.create({
 // baseURL: ''
 timeout: 300000,
 headers: {
  'Content-Type': 'application/json',
  'X-Requested-With': 'XMLHttpRequest',
 },
});

async function refreshAccessToken(): Promise<AxiosInterface.AxiosResponse<AxiosData>> {
 return await instance.post('api/refreshtoken');
}

let isRefreshing = false;
let requests: Array<Function> = []; // 若在 token 刷新过程中进来多个请求则存入 requests 中
// axios.defaults.baseURL = 'http://127.0.0.1:8888/api/private/v1/';
// 设置请求拦截器,若 token 过期则刷新 token
axios.interceptors.request.use(config => {
 const tokenObj = JSON.parse(window.localStorage.getItem('token') as string);
 if (config.url === 'api/login' || config.url === 'api/refreshtoken') return config;
 let accessToken = tokenObj.accessToken;
 let expireTime = tokenObj.expireTime;
 const refreshToken = tokenObj.refreshToken;

 config.headers.Authorization = accessToken;

 let time = Date.now();
 console.log(time, expireTime);
 if (time > expireTime) {
  if (!isRefreshing) {
   isRefreshing = true;
   refreshAccessToken()
    .then(res => {
     ({ accessToken, expireTime } = res.data.data);
     time = Date.now();
     const tokenStorage = {
      accessToken,
      refreshToken,
      expireTime: Number(time) + Number(expireTime),
     };
     window.localStorage.setItem('token', JSON.stringify(tokenStorage));
     isRefreshing = false;
     return accessToken;
    })
    .then((accessToken: string) => {
     requests.forEach(cb => {
      cb(accessToken);
     });
     requests = [];
    })
    .catch((err: string) => {
     throw new Error(`refresh token error: {err}`);
    });
  }

  // 如果是在刷新 token 时进行的请求则暂存在 requests 数组中,这里需要使用一个 pendding 的 Promise 来确保拦截的成功
  const parallelRequest: Promise<AxiosInterface.AxiosRequestConfig> = new Promise(resolve => {
   requests.push((accessToken: string) => {
    config.headers.Authorization = accessToken;
    console.log(accessToken + Math.random() * 1000);
    resolve(config);
   });
  });

  return parallelRequest;
 }

 return config;
});

export default (vue: Function) => {
 vue.prototype.http = axios;
};

总结

以上就是我对刷新 token 的实现,如果有什么错误之处欢迎指正交流。

以上就是token 机制和实现方式的详细内容,更多关于token 机制和实现方式的资料请关注我们其它相关文章!

(0)

相关推荐

  • 详解JSON Web Token 入门教程

    JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法. 一.跨域认证的问题 互联网服务离不开用户认证.一般流程是下面这样. 1.用户向服务器发送用户名和密码. 2.服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色.登录时间等等. 3.服务器向用户返回一个 session_id,写入用户的 Cookie. 4.用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器. 5.服务器收到 session

  • JS提示:Uncaught SyntaxError: Unexpected token ILLEGAL错误的解决方法

    本文实例讲述了JS提示:Uncaught SyntaxError: Unexpected token ILLEGAL错误的解决方法.分享给大家供大家参考,具体如下: Uncaught SyntaxError: Unexpected token ILLEGAL 未捕获的语法错误: 意想不到的非法令牌 如下图所示: 复制代码 代码如下: <input id="btn_0_4EAE4F474C91156086C0D4EA7E983C69C215B649" type="butt

  • php实现JWT(json web token)鉴权实例详解

    JWT是什么 JWT是json web token缩写.它将用户信息加密到token里,服务器不保存任何用户信息.服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证.基于token的身份验证可以替代传统的cookie+session身份验证方法. JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { "alg": "HS256", "typ": "JWT

  • node.js+captchapng+jsonwebtoken实现登录验证示例

    提到登录验证,大家肯定能想到的就是12306的验证码了吧.12306为了防止刷票,可以说是煞费苦心,验证码也越来越难识别,最终即使是人也可能识别不了了. 今天,小编就给大家说一下node如何实现图片验证码,以及使用token验证登录.学习本文你将学到: 1.使用captchapng生成图片验证码 2.使用jsonwebtoken实现登录验证 一.图片验证码生成(最后有全部代码) 首先,我们理一下流程,第一步服务器要随机生成一组四位数. 第二步,将这四位数用canvas绘图生成图片. 第三步,我们

  • 详解Node.js access_token的获取、存储及更新

    一.写在前面的话 上一篇文章中,我们使用 Node.js 成功的实现了接入微信公众平台功能.在这篇文章中,我们将实现微信公众平台一个非常重要的参数 access_token ,它是公众号的全局唯一接口调用凭据,公众号调用各接口时都需使用 access_token. 在开始之前,让我们先按捺住自己激动的心情.调整好呼吸,因为我们要将上一篇文章的代码重新整理一下.一个好的项目结构,更能有助于我们理清业务逻辑以及将来维护代码的便捷.OK? 二.整理项目结构 1.打开我们的项目,并在项目中添加文件夹,命

  • NodeJs crypto加密制作token的实现代码

    Node.js 内置的 Crypto 库 ,它提供各种加密算法,可以非常方便地让我们使用密码技术,解决应用开发中的问题.主要支持 hash(哈希),hmac(密钥哈希),cipher(编码),decipher(解码),sign(签名)以及 verify(验证)等.crypto 英文原意就是秘密成员的意思. 使用方法大概如下: crypto.createHash(algorithm) 指定使用的加密方式 var crypto = require("crypto");//加密 crypto

  • 详解Node.js使用token进行认证的简单示例

    本文只介绍简单的应用,关于json web token的具体介绍以及原理请参考阮一峰老师的JSON Web Token 入门教程. 使用的Node框架是koa2,前端发送ajax请求使用axios 首先创建工程目录: static中存放静态资源,views存放前端模板,server.js为后端代码. 安装必要的依赖项: "dependencies": { "@koa/router": "^8.0.8", "jsonwebtoken&qu

  • vue项目中js-cookie的使用存储token操作

    1.安装js-cookie # npm install js-cookie --save # yarn add js-cookie 2.引用(需要的文件) import Cookies from 'js-cookie' const TokenKey = 'Admin-Token' export function getToken() { return Cookies.get(TokenKey) } export function setToken(tcuncuoken) { return Coo

  • Node.js微信 access_token ( jsapi_ticket ) 存取与刷新的示例

    access_token 微信文档里存在两种access_token:普通 access_token 和 网页授权 access_token.具体区别参考:https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1421140842 以下提到的 access_token 均为普通的 access_token 1. 首先我们先去看看是如何请求 access_token 的? 微信公众平台技术文档 GET请求:https://api.weixin

  • JS提示:Uncaught SyntaxError:Unexpected token ) 错误的解决方法

    本文实例讲述了JS提示:Uncaught SyntaxError:Unexpected token ) 错误的解决方法.分享给大家供大家参考,具体如下: Uncaught SyntaxError: Unexpected token ) 以下代码引发了此异常: <div class="Hd_live_Sharediv left"> <a href="javascript:void()" onclick="loadLivePlayer('ud

  • node.js 微信开发之定时获取access_token

    什么是access_token access_token是公众号的全局唯一票据,公众号调用各接口时都需使用access_token.开发者需要进行妥善保存.access_token的存储至少要保留512个字符空间.access_token的有效期目前为2个小时,需定时刷新,重复获取将导致上次获取的access_token失效 当你的多个微信开发相关服务并存时,多个服务各自去获取 access_token ,最后导致其中一些服务会不能正常访问. 所以这种情况下,应该设置一个获取 access_to

  • JSON Web Tokens的实现原理

    前言 最近在做一个Python项目的改造,将python项目重构为Java项目,过程中遇到了这个知识点,觉得这个蛮实用的,所以下班后回来趁热打铁写下这篇总结,希望后面的人能够有所借鉴,少走弯路. 一.优势简介 JSON Web Tokens简称jwt,是rest接口的一种安全策略.本身有很多的优势: 解决跨域问题:这种基于Token的访问策略可以克服cookies的跨域问题. 服务端无状态可以横向扩展,Token可完成认证,无需存储Session. 系统解耦,Token携带所有的用户信息,无需绑

随机推荐