細(xì)心的你可能會(huì)發(fā)現(xiàn),我們在使用app的時(shí)候只需要登陸一次賬號(hào)之后下一次打開就不需要再次登陸,但經(jīng)過一段時(shí)間不登錄之后又會(huì)要求我們重新登陸,你知道這是如何實(shí)現(xiàn)的嗎?
雙token驗(yàn)證
web前端培訓(xùn)雙token1" />
具體說明如下:
1.根據(jù)需要下載軟件,完成注冊賬戶
2.登錄賬戶,后端返回 兩個(gè)token信息,分別為 access_token 以及 refresh_token,access_token稱之為短token,refresh_token稱之為長token
3.短token也就是access_token未過期,所有的請求一切都正常,用戶需要什么數(shù)據(jù)就返回什么數(shù)據(jù)
4.access_token 過期,服務(wù)端返回一個(gè)狀態(tài)碼給客戶端,客戶端接收到該狀態(tài)碼之后,使用refresh_token重新獲取一次新的 access_token 和 refresh_token,相當(dāng)于重置token
5.如果在refresh_token有效期中沒有使用過該軟件,意味著refresh_token過期,使用它獲取新的 access_token 和 refresh_token 時(shí)會(huì)返回新的一個(gè)狀態(tài)碼,提示用戶必須登錄
有的人可能會(huì)有如下疑問:
為什么在使用 refresh_token 時(shí)要返回新的 access_token 和 refresh_token,而不是延長 原來的 refresh_token 有效期?
為了安全,如果一旦 refresh_token 被黑客等人員截獲到,他們就一直可以非法使用你的賬號(hào)
即使一旦被截獲,只要用戶這邊刷新就會(huì)重新獲取到新的 refresh_token,那么以前的 被截獲的 refresh_token 就會(huì)失效
token的時(shí)間設(shè)置
token的時(shí)間設(shè)置需要看需求進(jìn)行劃分區(qū)別設(shè)置:
PC網(wǎng)絡(luò)應(yīng)用:對(duì)于網(wǎng)絡(luò)應(yīng)用程序而言,由于token可以直接直觀地獲取到,因此不管是accessToken還是refreshToken為了安全起見,其過期時(shí)間都不應(yīng)該設(shè)置得很長,且需要不停地更換token,因此PC網(wǎng)絡(luò)應(yīng)用的accessToken一般設(shè)置為2h過期,而refreshToken設(shè)置為1天到2天比較好,不足1天也是可以的,如果設(shè)置的時(shí)間比較短就在活躍期間時(shí)常刷新freshToken就好了,如果設(shè)置的時(shí)間比較長,就只需要設(shè)置一個(gè)閾值(比如7day的refreshToken設(shè)置一個(gè)6day閾值),在refreshToken小于等于這個(gè)閾值的時(shí)候就進(jìn)行刷新refreshToken就好了。
手機(jī)應(yīng)用:對(duì)于手機(jī)APP應(yīng)用而言,登錄操作一般只做一次,因此token的過期時(shí)間必是無限,即不會(huì)過期,不過為了安全起見(比如防止你丟手機(jī)),token應(yīng)該以某種程度上對(duì)用戶可見(比如在安全中心里檢驗(yàn)了身份之后可以讓你看到哪些設(shè)備有token,即哪些設(shè)備會(huì)被允許登錄)并可讓用戶對(duì)其進(jìn)行一定程度上的操作(比如你手機(jī)丟了,然后登錄安全中心移除那個(gè)手機(jī)的token,也就是移除那個(gè)手機(jī)的登陸權(quán)限,從而使那個(gè)手機(jī)的應(yīng)用上的你的帳號(hào)強(qiáng)制下線)
無效的Token的處理
對(duì)于頻繁更換的Token,如何處理舊的未過期的而又無效的Token,以下提供了幾個(gè)思路:
1.簡單地從瀏覽器中移除token就好了
顯然,這種方式對(duì)于服務(wù)器方面的安全而言并沒有什么卵用,但它能通過移除存在的token來阻止攻擊者(比如,攻擊者必須在用戶下線之前竊取到token)
2.制作一張token黑/白名單
在移除了瀏覽器存儲(chǔ)的token后如果還想要再嚴(yán)格點(diǎn),就只能在服務(wù)器上制作一張已經(jīng)無效但是沒過期的token的黑/白名單了,在每次請求中都操作數(shù)據(jù)庫進(jìn)行token的匹配,并以某種方式進(jìn)行維護(hù)(不管是黑名單的定期刪除維護(hù)也好,白名單的無效時(shí)刪除也好),不過顯然這種方式還是違背了token無狀態(tài)的初衷,但是除此之外也沒別的辦法。
存儲(chǔ)可以按照userId—token的方式存儲(chǔ)在數(shù)據(jù)庫中(當(dāng)然也可以按你喜歡添加其他字段標(biāo)明其他信息,比如說mac地址啦,是手機(jī)還是電腦啦,設(shè)備型號(hào)啦,巴拉巴拉巴拉····),白名單的話直接存儲(chǔ)有效的token,在需要token無效的邏輯中刪除指定token即可(比如刷新token的時(shí)候把舊的無效的但未過期的刪掉)。而如果是黑名單的話就需要你定期去刪除其中已經(jīng)過期的token了。而驗(yàn)證的話除了要去數(shù)據(jù)庫名單里匹配之外還需要驗(yàn)證token本身的有效性。
3.只需要將token的過期時(shí)間設(shè)置的足夠短就行了
如何刷新Token(引用自github)
以上就是雙token登陸驗(yàn)證的介紹了,同學(xué)們不妨親自去試試,最后如果你對(duì)web前端培訓(xùn)感興趣的話,不妨來千鋒WEB前端培訓(xùn)班參加我們的web前端培訓(xùn)課程的學(xué)習(xí),現(xiàn)在咨詢更有免費(fèi)學(xué)習(xí)資料可以領(lǐng)取,還有海量免費(fèi)學(xué)習(xí)資料,趕緊去了解一下吧。