您现在的位置是:首页 > 技术教程 正文

登录生成双token的理解

admin 阅读: 2024-03-27
后台-插件-广告管理-内容页头部广告(手机)

为什么需要双token?

token是为了防止用户信息传来传去导致被劫持,但是假如token没有过期时间或者过期很长,那么显然token被劫持还是不安全的,token就失去了意义。如果token时间短的话,安全性相对提高,但是需要频繁登录,频繁需要服务器返回,对服务器性能是一种浪费,为了解决安全性问题和用户频繁登录问题,采用双token来设计。

双token的介绍和优点

介绍

双token机制是为了提高系统安全性而采用的一种措施。它指的是在登录成功后,会生成两个token返回给客户端:

- Access Token:用于访问受限资源,有一定的生命周期,过期需要重新获取。
- Refresh Token:用于刷新Access Token,生命周期较长

优点

1. 短期Access Token提高安全性,减小被盗用的时间窗口
2. 长期Refresh Token方便免登陆续期,优化用户体验
3. 两级验证机制,Access Token遭破解不会立即导致全部资源被盗用

具体流程

1. 客户端使用用户名密码请求登录
2. 服务端验证成功后,生成Access Token和Refresh Token返回给客户端
3. 客户端在Access Token过期前使用它访问受限资源
4. Access Token过期后,客户端使用Refresh Token请求新的Access Token
5. 服务端验证Refresh Token成功后,生成新的Access Token返回
6. 客户端使用新的Access Token继续访问资源
7. Refresh Token过期时,需要客户端重新登录获取新的Access Token和Refresh Token

实现步骤

1. 生成Access Token和Refresh Token,存储Refresh Token
2. 设置不同的过期时间,如Access Token 30分钟,Refresh Token 7天
3. 在Access Token过期时验证Refresh Token是否过期以及合法性
4. 如果通过验证,根据Refresh Token生成新的Access Token返回
5. 如果Refresh Token也过期,返回错误码提示重新登录

代码:

  1. const jwt = require('jsonwebtoken');
  2. const secretKey = 'secret'; // access token密钥
  3. const refreshSecret = 'refreshSecret'; // refresh token密钥
  4. function getAccessToken(req, res) {
  5. let { username, password } = req.body; // 获取登录表单数据
  6. if (username && password) { // 校验用户名和密码
  7. let accessToken = jwt.sign({ username }, secretKey, { expiresIn: '30m' });
  8. // 生成30分钟过期access token
  9. let refreshToken = jwt.sign({ username }, refreshSecret);
  10. // 生成无过期refresh token
  11. res.json({ // 返回access token和refresh token
  12. status: 'ok',
  13. accessToken,
  14. refreshToken
  15. })
  16. } else {
  17. res.json({
  18. status: 'error',
  19. message: '用户名或密码不能为空!' // 登录表单校验失败,返回错误信息
  20. })
  21. }
  22. }
  23. function refreshToken(req, res) { // refresh接口
  24. let { refreshToken } = req.body; // 获取refresh token
  25. if (refreshToken) { // 校验refresh token
  26. let decoded = jwt.verify(refreshToken, refreshSecret);
  27. // 验证refresh token
  28. let accessToken = jwt.sign({ username: decoded.username }, secretKey, { expiresIn: '30m' });
  29. // 生成新的30分钟access token
  30. res.json({
  31. status: 'ok',
  32. accessToken // 返回新的access token
  33. })
  34. } else {
  35. res.json({
  36. status: 'error',
  37. message: '刷新令牌不能为空!' // refresh token校验失败,返回错误信息
  38. })
  39. }
  40. }
  41. app.post('/login', getAccessToken); // 登录接口,获取token
  42. app.post('/refresh', refreshToken); // 刷新接口,刷新access token

标签:
声明

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

在线投稿:投稿 站长QQ:1888636

后台-插件-广告管理-内容页尾部广告(手机)
关注我们

扫一扫关注我们,了解最新精彩内容

搜索