关于refresh token的一个实践

refresh token是token之后的一个进一步的发展。它主要是为了让用户无感知的延长登录状态的有效期。

于是现在的流程(省略掉了一些细节)是:

  1. 账号密码登录。

  2. 服务器返回access_token和refresh_token两个字符串,都要存到本地而且永久存储。

  3. access_token在服务器的生命是1天,refresh_token在服务器的生命是7天。这个天数可以自己公司自己定。将生命值一起存到本地缓存,比如

{
  access_token:{
    value: 'xxx',
    expires: '一天以后的时间戳'
  },
  access_token:{
    value: 'ooo',
    expires: '7天以后的时间戳'
  }`
}
  1. 发请求之前要做一些本地的判断,要判断access_token是否过期,没过期的话,请求要header携带access_token,服务器判断access_token是否过期,过期的话,返回401错误。

  2. 你的axios要拦截401错误,当拦截到之后,立即向一个特设的api发请求,此时header携带的是refresh_token。

  3. 服务器判断refresh_token是不是过期,如果没有过期,那么返回新的access_token和新的refresh token,然后把挂起的请求重新发出去。这里注意,虽然refresh token的有效期是access_token的好几倍,但是它往往撑不到生命结束,因为access_token一天就过期了,那么refresh token即便没有过期,也会被刷新成新的refresh token。

之前说了,有些细节我省略掉了,全部流程可以看这个图。这个图的争议部分就是access_token的“是否过期”和“是否即将过期”,你可以判断两次,也可以只判断是否过期,都成。

image.png

另外注意:

  1. axios的拦截器怎么写,其实还是很简单的,因为拦截器本质就是挂起请求,所以中间你插一个请求新的access_token的过程是没问题的。

  2. 图里没有提到refresh_token本地过期的判断,应该考虑上,如果本地过期,就立即跳到重新登录。

  3. 有同学说,那我一打开项目就已经refresh token过期了,怎么判断?
    废话么这不是,项目加载过程中就会做ajax请求啊,请求如果过期了就跳转到登录啊。就是上面的流程。

  4. 有同学说,我不用refresh_token行不行?
    当然行,refresh_token就是为了“无感知的延长用户登录有效期”,不用的话,更简单,access_token一天之后一定过期,一定要重登陆。

  5. 有同学说,不用refresh token,只是服务器在access_token临近过期的时候延长access_token的服务器有效期行不行?
    也行!但是这里面就有个问题,就是服务器要判断你的access_token是不是临近过期,这就需要任何一个请求发到服务器都要判断一次token的有效期,是不是非常浪费服务器性能?相对而言,浏览器向特定接口发一次请求,是不是非常节省服务器性能?

  6. 有同学说,还是不想用refresh token,只在本地判断access_token是不是临近过期行不行?只要本地临近过期,就向服务器发送请求,请求access_token延期,行不行?
    行,但是安全性低。这就涉及到refresh_token的另一个作用,提升安全性。因为access_token你每天可能会发200次,但是refresh_token你每天发一次(上面说了,虽然refresh_token有7天生命,但往往1天就随着access_token刷新了),你说哪个安全?

  7. 有同学说,如果我正在向服务器发送多个请求,比如同时发了10个请求,那么我们知道,请求服务器特定接口,是需要时间的,比如用时1秒,这1秒内10个请求都获得了401错误,axios会向特定接口发10个请求,这时候服务器会返回10个不同的access_token吗?
    这就需要服务器做处理了,也就是后端同学需要考虑的事情,他要保证服务器发回来的10个token的值必须是一致的。也就是说,服务器新生成的access_token和refresh token在短时间内(比如3秒内)是不允许改变的。

  8. 有同学说,拿着access_token和refresh_token是不是能永久登录了?如果被外人拿到怎么办?
    这就需要服务器判断用户异常行为,然后警报。这跟cookie/session方案的安全性是一样的,没有警报的话,谁知道是不是你本人呢?阿里腾讯也不敢说异地登录的就一定是你本人,或者一定不是你本人吧?
    再有,你用账号密码登录的话,是一定会刷新access_token和refresh_token的,那么别人拿的access_token和refresh_token也就立即失效了。

  9. 有同学说,怎么注销access_token呢?
    全文说的access_token和refresh_token,并不是JWT方案,而是传统token方案,JWT方案才有“注销困难”(但也是有办法的)的问题,因为JWT在服务器只存在计算式的校验,而不是跟已有数据比对式的校验,JWT是计算验证,不是比对验证。这里不提JWT方案,只说传统token方案的话,因为token是在服务器是有储存的,发到服务器的token是要进行比对的。所以注销很容易啊,把服务器存的那份删掉就行了。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,816评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,729评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,300评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,780评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,890评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,084评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,151评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,912评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,355评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,666评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,809评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,504评论 4 334
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,150评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,882评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,121评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,628评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,724评论 2 351

推荐阅读更多精彩内容