双重token自动续期解决方案
Token自动续期实现方案详解
Token自动续期是提升用户体验和保障系统安全的关键机制,其核心在于无感刷新和安全可控。以下从原理、实现方案、安全措施和最佳实践四个维度展开说明:
一、核心原理:双Token机制
Token自动续期通常采用 Access Token(访问令牌) + Refresh Token(刷新令牌) 的双Token方案:
- Access Token:短期有效(如15分钟),用于直接访问受保护资源。
- Refresh Token:长期有效(如30天),仅用于获取新的Access Token。
当用户请求资源时,服务端验证Access Token有效性:
- 有效:直接响应请求。
- 过期:客户端使用Refresh Token申请新Access Token,无需用户重新登录。
二、实现方案详解
1. 后端实现流程
(1)登录时生成双Token
// 生成Access Token(15分钟有效期)
String accessToken = JwtUtil.sign(username, secret, 15 * 60 * 1000);
// 生成Refresh Token(30天有效期)
String refreshToken = JwtUtil.sign(username, secret, 30 * 24 * 60 * 60 * 1000);
// 存储到Redis(Access Token过期时间设为双倍,用于续期判断)
redisUtil.set("access_token:" + userId, accessToken, 30 * 60); // 30分钟
redisUtil.set("refresh_token:" + userId, refreshToken, 30 * 24 * 60 * 60); // 30天
(2)请求拦截校验与续期
public boolean preHandle(HttpServletRequest request) {String token = request.getHeader("Authorization");// 1. 检查Access Token是否存在if (token == null) return false;// 2. 验证Token有效性try {JwtUtil.verify(token, secret);} catch (TokenExpiredException e) {// 3. Token过期但仍在Redis中,触发续期String cachedToken = redisUtil.get("access_token:" + userId);if (cachedToken != null && cachedToken.equals(token)) {String newToken = JwtUtil.sign(username, secret, 15 * 60 * 1000);redisUtil.set("access_token:" + userId, newToken, 30 * 60);request.setAttribute("new_token", newToken); // 返回新Token给前端} else {// Redis中Token已失效,需重新登录return false;}}return true;
}
2. 前端实现流程
(1)请求拦截器逻辑
axios.interceptors.response.use(response => {// 检查Token是否即将过期(例如剩余1分钟)const token = localStorage.getItem('access_token');const decoded = jwtDecode(token);const expireTime = decoded.exp * 1000;const now = Date.now();if (expireTime - now < 60 * 1000) {// 自动调用刷新接口return axios.post('/refresh_token', { refresh_token: localStorage.getItem('refresh_token') }).then(res => {// 更新本地Token并重试原请求localStorage.setItem('access_token', res.data.new_token);return axios(request.config);});}return response;
}, error => {// 处理Token失效或刷新失败if (error.response.status === 401) {redirectToLogin();}return Promise.reject(error);
});(2)刷新Token接口调用
async function refreshToken() {try {const res = await axios.post('/refresh_token', {refresh_token: localStorage.getItem('refresh_token')});localStorage.setItem('access_token', res.data.new_token);return true;} catch (error) {logout(); // 刷新失败则退出登录return false;}
}三、安全措施
- 传输安全:全程使用HTTPS防止Token被截获。
- 存储安全:
- 前端:Refresh Token存储在HttpOnly Cookie中,避免XSS攻击。
- 后端:Token加密存储,Redis设置访问权限。
- 生命周期管理:
- Access Token:15分钟有效期,Redis缓存30分钟。
- Refresh Token:30天有效期,支持续期次数限制(如最多刷新50次)。
- 黑名单机制:用户注销或修改密码时,将Refresh Token加入黑名单。
四、最佳实践
- 续期触发策略:
- 时间阈值:Token剩余1分钟时触发刷新。
- 操作感知:用户持续操作(如每5分钟有请求)自动续期。
- 兜底逻辑:
- 强制重新登录:超过72小时未操作,即使Refresh Token有效也需重新认证。
- 刷新次数限制:防止Refresh Token被无限续期。
- 监控与告警:
- 监控Token刷新频率,异常高频触发告警。
- 记录刷新日志,便于审计。
五、方案优势
| 维度 | 传统单Token方案 | 双Token自动续期方案 |
|---|---|---|
| 用户体验 | 频繁登录打断操作 | 无感刷新,操作连贯 |
| 安全性 | 长期有效Token风险高 | 短期Access Token降低泄露影响 |
| 服务端压力 | 每次请求需解密验证 | 续期操作减少重复认证 |
总结:Token自动续期通过双Token机制、缓存校验和前后端协作,实现了安全与体验的平衡。实际部署时需结合业务场景调整Token有效期和续期策略,并严格遵循安全规范。
相关文章:
双重token自动续期解决方案
Token自动续期实现方案详解 Token自动续期是提升用户体验和保障系统安全的关键机制,其核心在于无感刷新和安全可控。以下从原理、实现方案、安全措施和最佳实践四个维度展开说明: 一、核心原理:双Token机制 Token自动续期通常采用 Access …...
我与数学建模之启程
下面的时间线就是从我的大二上开始 9月开学就迎来了本科阶段最重要的数学建模竞赛——国赛,这个比赛一般是在9月的第二周开始。 2021年国赛是我第一次参加国赛,在报名前我还在纠结队友,后来经学长推荐找了另外两个学长。其实第一次国赛没啥…...
多段圆弧拟合离散点实现切线连续
使用多段圆弧来拟合一个由离散点组成的曲线,并且保证切线连续。也就是说,生成的每一段圆弧之间在连接点处必须有一阶导数连续,也就是切线方向相同。 点集分割 确保每个段的终点是下一段的起点,相邻段共享连接点,避免连接点位于数…...
烧结银:解锁金刚石超强散热潜力
烧结银:解锁金刚石超强散热潜力 在材料科学与热管理领域,金刚石凭借超高的热导率,被誉为 “散热之王”,然而,受限于其特殊的性质,金刚石在实际应用中难以充分发挥散热优势。而烧结银AS9335的出现&#x…...
【蓝桥杯】第十四届C++B组省赛
⭐️个人主页:小羊 ⭐️所属专栏:蓝桥杯 很荣幸您能阅读我的文章,诚请评论指点,欢迎欢迎 ~ 目录 试题A:日期统计试题B:01串的熵试题C:冶炼金属试题D:飞机降落试题E:接…...
企业级海外网络专线行业应用案例及服务商推荐
在全球化业务快速发展的今天,传统网络技术已难以满足企业需求。越来越多企业开始选择新型海外专线解决方案,其中基于SD-WAN技术的企业级海外网络专线备受关注。这类服务不仅能保障跨国数据传输,还能根据业务需求灵活调整网络配置。接下来我们…...
阿里云服务器安装docker以及mysql数据库
(1) 官方下载路径 官方下载地址: Index of linux/static/stable/x86_64/阿里云镜像地址: https://mirrors.aliyun.com/docker-ce/下载最新的 Docker 二进制文件:wget https://download.docker.com/linux/static/stable/x86_64/docker-20.10.23.tgz登录到阿里云服务…...
)
力扣经典算法篇-5-多数元素(哈希统计,排序,摩尔投票法)
题干: 给定一个大小为 n 的数组 nums ,返回其中的多数元素。多数元素是指在数组中出现次数 大于 ⌊ n/2 ⌋ 的元素。 你可以假设数组是非空的,并且给定的数组总是存在多数元素。 示例 1: 输入:nums [3,2,3] 输出&…...
axios介绍以及配置
Axios 是一个基于 Promise 的 HTTP 客户端,用于浏览器和 Node.js 环境中进行 HTTP 请求。 一、特点与基本用法 1.特点 浏览器兼容性好:能在多种现代浏览器中使用,包括 Chrome、Firefox、Safari 等。支持 Promise API:基于 Prom…...
深入解析:HarmonyOS Design设计语言的核心理念
深入解析:HarmonyOS Design设计语言的核心理念 在当今数字化迅速发展的时代,用户对操作系统的体验要求越来越高。华为的HarmonyOS(鸿蒙操作系统)应运而生,旨在为用户提供全场景、全设备的智慧体验。其背后的设计语言—…...
大数据技术之Scala:特性、应用与生态系统
摘要 Scala 作为一门融合面向对象编程与函数式编程范式的编程语言,在大数据领域展现出独特优势。本文深入探讨 Scala 的核心特性,如函数式编程特性、类型系统以及与 Java 的兼容性等。同时,阐述其在大数据处理框架(如 Apache Spa…...
:竞价指标剖析与流量对接要点)
程序化广告行业(47/89):竞价指标剖析与流量对接要点
程序化广告行业(47/89):竞价指标剖析与流量对接要点 大家好!一直以来,我都希望能和大家一同深入探索程序化广告行业的奥秘,这也是我持续撰写这一系列博客的动力。今天,咱们接着来剖析程序化广告…...
dfs记忆化搜索刷题 + 总结
文章目录 记忆化搜索 vs 动态规划斐波那契数题解代码 不同路径题解代码 最长递增子序列题解代码 猜数字大小II题解代码 矩阵中的最长递增路径题解代码 总结 记忆化搜索 vs 动态规划 1. 记忆化搜索:有完全相同的问题/数据保存起来,带有备忘录的递归 2.记忆…...
vue2 全局封装axios统一管理api
在vue项目中,经常会使用到axios来与后台进行数据交互,axios丰富的api满足我们基本的需求。但是对于项目而言,每次都需要对异常进行捕获或者处理的话,代码会很繁重冗余。我们需要将其公共部分封装起来,比如异常处理&…...
大模型有哪些算法
大模型(Large-scale Models)通常指参数量大、架构复杂、在特定任务或领域表现出色的深度学习模型。这些模型的算法核心往往基于Transformer 架构及其变体,同时结合了大规模数据、硬件加速和优化技巧。以下是当前主流大模型及其核心算法的分类…...
【Linux】进程的详讲(中上)
目录 📖1.什么是进程? 📖2.自己写一个进程 📖3.操作系统与内存的关系 📖4.PCB(操作系统对进程的管理) 📖5.真正进程的组成 📖6.形成进程的过程 📖7、Linux环境下的进程知识 7.1 task_s…...
Python Cookbook-4.17 字典的并集与交集
任务 给定两个字典,需要找到两个字典都包含的键(交集),或者同时属于两个字典的键(并集)。 解决方案 有时,尤其是在Python2.3中,你会发现对字典的使用完全是对集合的一种具体化的体现。在这个要求中,只需要考虑键&am…...
优选算法的巧思之径:模拟专题
专栏:算法的魔法世界 个人主页:手握风云 目录 一、模拟 二、例题讲解 2.1. 替换所有的问号 2.2. 提莫攻击 2.3. Z字形变换 2.4. 外观数列 2.5. 数青蛙 一、模拟 模拟算法说简单点就是照葫芦画瓢,现在草稿纸上模拟一遍算法过程…...
【云服务器】在Linux CentOS 7上快速搭建我的世界 Minecraft 服务器搭建,并实现远程联机,详细教程
【云服务器】在Linux CentOS 7上快速搭建我的世界 Minecraft 服务器搭建,详细详细教程 一、 服务器介绍二、下载 Minecraft 服务端三、安装 JDK 21四、搭建服务器五、本地测试连接六、添加服务,并设置开机自启动 前言: 推荐使用云服务器部署&…...
文本分析(非结构化数据挖掘)——特征词选择(基于TF-IDF权值)
TF-IDF是一种用于信息检索和文本挖掘的常用加权算法,用于评估一个词在文档或语料库中的重要程度。它结合了词频(TF)和逆文档频率(IDF)两个指标,能够有效过滤掉常见词(如“的”、“是”等&#x…...
【JavaSE】小练习 —— 图书管理系统
【JavaSE】JavaSE小练习 —— 图书管理系统 一、系统功能二、涉及的知识点三、业务逻辑四、代码实现4.1 book 包4.2 user 包4.3 Main 类4.4 完善管理员菜单和普通用户菜单4.5 接着4.4的管理员菜单和普通用户菜单,进行操作选择(1查找图书、2借阅图书.....…...
命令模式介绍及应用案例
命令模式介绍 命令模式(Command Pattern) 是一种行为设计模式,它将请求封装为一个对象,从而使你可以用不同的请求对客户进行参数化,并且支持请求的排队、记录日志、撤销操作等功能。命令模式的核心思想是将“请求”封…...
多线程(多线程案例)(续~)
目录 一、单例模式 1. 饿汉模式 2. 懒汉模式 二、阻塞队列 1. 阻塞队列是什么 2. 生产者消费者模型 3. 标准库中的阻塞队列 4. 自实现阻塞队列 三、定时器 1. 定时器是什么 2. 标准库中的定时器 欢迎观看我滴上一篇关于 多线程的博客呀,直达地址…...
python笔记之函数
函数初探 python在要写出函数很简单,通过关键字def即可写出,简单示例如下 def add(a, b):return ab 以上即可以定义出一个简单的函数:接收两个变量a和b,返回a和b相加的结果,当然这么说也不全对,原因就是…...
合合信息大模型加速器2.0实测:当AI开始“读心术“与“考古“
凌晨三点的编辑部,我盯着屏幕上密密麻麻的财务报表和如天书般的专利图纸,感觉咖啡因正在大脑中上演"黑凤凰"式崩溃。这时,合合信息的AI助手突然开口:"您需要的是自动关联32个数据表,还是让模型直接生成…...
一个判断A股交易状态的python脚本
最近在做股票数据相关的项目,需要用到判断某一天某个时刻A股的状态,比如休市,收盘,交易中等,发动脑筋想了一下,这个其实还是比较简单的,这里我把实现方法分享给大家。 思路 当天是否休市 对于某…...
【go】数组与切片
数组Array 重点: 数组是值类型 数组的定义 var 数组名 [数组大小] 数据类型,例如var intArr [5] int,定义完数组后数组里的元素有默认值。、 数组的地址&intArr、&intArr[0]。 数组占据连续的内存。 int通常是4字节(32位&…...
hadoop集群配置-scp命令
scp 命令用于在不同主机之间复制文件或目录,在Hadoop集群配置中常用于将配置文件或相关资源分发到各个节点。以下是 scp 命令的基本用法和在Hadoop集群配置中的示例: 基本语法 scp [-r] [源文件或目录] [目标用户目标主机:目标路径] - -r :…...
闪记(FlashNote):让灵感快速成文的轻量级笔记工具
闪记(FlashNote):让灵感快速成文的轻量级笔记工具 你是否经常遇到这样的情况:桌面上放了一大堆的新建123.txt,想记录一个想法,应该是一键开个一个快捷键然后瞬间记录就自动保存了,现在的很多笔记…...
打车APP订单系统逻辑梳理与实现
一、逻辑分析 打车 APP 订单系统是整个打车业务的核心,负责处理从乘客下单到行程结束的一系列流程,涉及乘客、司机和平台三方的交互。 乘客端 下单:乘客打开 APP,输入上车地点、目的地,选择车型等信息后提交订单。此时…...