登录双token方案
其他
2020-01-21 12:17:33
阅读次数: 0
登录双token方案
前言
- 当我们需要用户在指定时间内有操作时就可以不用登录(首次登录还是免不了的),而在指定时间内没有任何操作时就需要重新登录的话,那么就需要对token方案进行一定设计
- 目前比较推荐的做法是使用双token方案
方案设计
- 用户在登录之后返回access_token和refresh_token(这里假定他们的有效期分别是2小时和7天)
- 当access_token未过期时,则请求正常
- 当access_token过期了,此时服务端会返回过期提示给到客户端,客户端收到过期提示后,使用refresh_token去获取新的access_token和refresh_token(此时他们的有效期就又变为2小时和7天,旧的自然失效)
- 当refresh_token也过期了,使用它去获取新access_token时服务端就会返回过期提示,那么此时就应该让用户重新登录了
- 每次使用access_token时,都会更新refresh_token的有效期
- 流程图如下:
- 以上一个好处就是只要用户在7天内有操作,那么就可以不用重新登录,而如果用户在7天内没有任何操作,那么则需要用户重新登录
- 使用长短周期token的好处就是短周期token可以防止被截获后无休止使用,长周期token又可以保证用户不用一直登录,毕竟登录用的是账号和密码,这种数据在网络传输中越少越好。
- 之所以在使用refresh_token时都返回新的refresh_token,而不是延长旧的refresh_token的有效期,主要是为了安全,避免refresh_token被非法截获后一直可用
- 假如每次都生成新的refresh_token,那么即使旧的refresh_token被截获,在用户合法刷新后就会生成新的refresh_token,导致被截获的那个旧refresh_token失效,从而提升安全性
发布了126 篇原创文章 ·
获赞 37 ·
访问量 17万+
转载自blog.csdn.net/huweijian5/article/details/88903561
