轉自
https://my.oschina.net/odetteisgorgeous/blog/1920762
業務場景
在前後分離場景下,越來越多的項目使用token作爲接口的安全機制,APP端或者WEB端(使用VUE、REACTJS等構建)使用token與後端接口交互,以達到安全的目的。本文結合stackover以及本身項目實踐,試圖總結出一個通用的,可落地的方案。
基本思路
- 單個token
- token(A)過期設置爲15分鐘
- 前端發起請求,後端驗證token(A)是否過期;如果過期,前端發起刷新token請求,後端設置已再次授權標記爲true,請求成功
- 前端發起請求,後端驗證再次授權標記,如果已經再次授權,則拒絕刷新token的請求,請求成功
- 如果前端每隔72小時,必須重新登錄,後端檢查用戶最後一次登錄日期,如超過72小時,則拒絕刷新token的請求,請求失敗
- 授權token加上刷新token
用戶僅登錄一次,用戶改變密碼,則廢除token,重新登錄
1.0實現
1.登錄成功,返回access_token和refresh_token,客戶端緩存此兩種token;
2.使用access_token請求接口資源,成功則調用成功;如果token超時,客戶端
攜帶refresh_token調用中間件接口獲取新的access_token;
3.中間件接受刷新token的請求後,檢查refresh_token是否過期。
如過期,拒絕刷新,客戶端收到該狀態後,跳轉到登錄頁;
如未過期,生成新的access_token和refresh_token並返回給客戶端(如有可能,讓舊的refresh_token失效),客戶端攜帶新的access_token重新調用上面的資源接口。
4.客戶端退出登錄或修改密碼後,調用中間件註銷舊的token(使access_token和refresh_token失效),同時清空客戶端的access_token和refresh_toke。
後端表
id user_id client_id client_secret refresh_token expire_in create_date del_flag
2.0實現
場景: access_token訪問資源 refresh_token授權訪問 設置固定時間X必須重新登錄
1.登錄成功,後臺jwt生成access_token(jwt有效期30分鐘)和refresh_token(jwt有效期15天),並緩存到redis(hash-key爲token,sub-key爲手機號,value爲設備唯一編號(根據手機號碼,可以人工廢除全部token,也可以根據sub-key,廢除部分設備的token。),設置過期時間爲1個月,保證最終所有token都能刪除),返回後,客戶端緩存此兩種token;
2.使用access_token請求接口資源,校驗成功且redis中存在該access_token(未廢除)則調用成功;如果token超時,中間件刪除access_token(廢除);客戶端再次攜帶refresh_token調用中間件接口獲取新的access_token;
3.中間件接受刷新token的請求後,檢查refresh_token是否過期。
如過期,拒絕刷新,刪除refresh_token(廢除); 客戶端收到該狀態後,跳轉到登錄頁;
如未過期,檢查緩存中是否有refresh_token(是否被廢除),如果有,則生成新的access_token並返回給客戶端,客戶端接着攜帶新的access_token重新調用上面的資源接口。
4.客戶端退出登錄或修改密碼後,調用中間件註銷舊的token(中間件刪除access_token和refresh_token(廢除)),同時清空客戶端側的access_token和refresh_toke。
5.如手機丟失,可以根據手機號人工廢除指定用戶設備關聯的token。
6.以上3刷新access_token可以增加根據登錄時間判斷最長X時間必須重新登錄,此時則拒絕刷新token。(拒絕的場景:失效,長時間未登錄,頻繁刷新)
2.0 變動
1.登錄
2.登錄攔截器
3.增加刷新access_token接口
4.退出登錄
5.修改密碼
3.0實現
場景:自動續期 長時間未使用需重新登錄
1.登錄成功,後臺jwt生成access_token(jwt有效期30分鐘),並緩存到redis(hash-key爲access_token,sub-key爲手機號,value爲設備唯一編號(根據手機號碼,可以人工廢除全部token),設置access_token過期時間爲7天,保證最終所有token都能刪除),返回後,客戶端緩存此token;
2.使用access_token請求接口資源,校驗成功且redis中存在該access_token(未廢除)則調用成功;如果token超時,中間件刪除access_token(廢除),同時生成新的access_token並返回。客戶端收到新的access_token,
再次請求接口資源。
3.客戶端退出登錄或修改密碼後,調用中間件註銷舊的token(中間件刪除access_token(廢除)),同時清空客戶端側的access_token。
4.以上2 可以增加根據登錄時間判斷最長X時間必須重新登錄,此時則拒絕刷新token。(拒絕的場景:長時間未登錄,頻繁刷新)
5.如手機丟失,可以根據手機號人工廢除指定用戶設備關聯的token。
3.0 變動
1.登錄
2.登錄攔截器
3.退出登錄
4.修改密碼
1.3 場景:token過期重新登錄 長時間未使用需重新登錄
1.登錄成功,後臺jwt生成access_token(jwt有效期7天),並緩存到redis,key爲 "user_id:access_token",value爲access_token(根據用戶id,可以人工廢除指定用戶全部token),設置緩存過期時間爲7天,保證最終所有token都能刪除,請求返回後,客戶端緩存此access_token;
2.使用access_token請求接口資源,校驗成功且redis中存在該access_token(未廢除)則調用成功;如果token超時,中間件刪除access_token(廢除),同時生成新的access_token並返回。客戶端收到新的access_token,
再次請求接口資源。
3.客戶端退出登錄或修改密碼後,調用中間件註銷舊的token(中間件刪除access_token(廢除)),同時清空客戶端側的access_token。
4.以上2 可以增加根據登錄時間判斷最長X時間必須重新登錄,此時則拒絕刷新token。(拒絕的場景:長時間未登錄,頻繁刷新)
5.如手機丟失,可以根據手機號人工廢除指定用戶設備關聯的token。
1.3 變動
1.登錄
2.登錄攔截器
3.退出登錄
4.修改密碼
解決方案
2.0 場景: access_token訪問資源 refresh_token授權訪問 設置固定時間X必須重新登錄
1.登錄成功,後臺jwt生成access_token(jwt有效期30分鐘)和refresh_token(jwt有效期15天),並緩
存到redis(hash-key爲token,sub-key爲手機號,value爲設備唯一編號(根據手機號碼,可以人工廢除全
部token,也可以根據sub-key,廢除部分設備的token。),設置過期時間爲1個月,保證最終所有token都
能刪除),返回後,客戶端緩存此兩種token;
2.使用access_token請求接口資源,校驗成功且redis中存在該access_token(未廢除)則調用成功;如果
token超時,中間件刪除access_token(廢除);客戶端再次攜帶refresh_token調用中間件接口獲取新的
access_token;
3.中間件接受刷新token的請求後,檢查refresh_token是否過期。
如過期,拒絕刷新,刪除refresh_token(廢除); 客戶端收到該狀態後,跳轉到登錄頁;
如未過期,檢查緩存中是否有refresh_token(是否被廢除),如果有,則生成新的access_token並返回給
客戶端,客戶端接着攜帶新的access_token重新調用上面的資源接口。
4.客戶端退出登錄或修改密碼後,調用中間件註銷舊的token(中間件刪除access_token和refresh_token(
廢除)),同時清空客戶端側的access_token和refresh_toke。
5.如手機丟失,可以根據手機號人工廢除指定用戶設備關聯的token。
6.以上3刷新access_token可以增加根據登錄時間判斷最長X時間必須重新登錄,此時則拒絕刷新token。(
拒絕的場景:失效,長時間未登錄,頻繁刷新)
2.0 變動
1.登錄
2.登錄攔截器
3.增加刷新access_token接口
4.退出登錄
5.修改密碼
3.0 場景:自動續期 長時間未使用需重新登錄
1.登錄成功,後臺jwt生成access_token(jwt有效期30分鐘),並緩存到redis(hash-key爲
access_token,sub-key爲手機號,value爲設備唯一編號(根據手機號碼,可以人工廢除全部token,也可以
根據sub-key,廢除部分設備的token。),設置access_token過期時間爲1個月,保證最終所有token都能刪
除),返回後,客戶端緩存此token;
2.使用access_token請求接口資源,校驗成功且redis中存在該access_token(未廢除)則調用成功;如果
token超時,中間件刪除access_token(廢除),同時生成新的access_token並返回。客戶端收到新的
access_token,
再次請求接口資源。
3.客戶端退出登錄或修改密碼後,調用中間件註銷舊的token(中間件刪除access_token(廢除)),同時清
空客戶端側的access_token。
4.以上2 可以增加根據登錄時間判斷最長X時間必須重新登錄,此時則拒絕刷新token。(拒絕的場景:長
時間未登錄,頻繁刷新)
5.如手機丟失,可以根據手機號人工廢除指定用戶設備關聯的token。
3.0 變動
1.登錄
2.登錄攔截器
3.退出登錄
4.修改密碼
4.0 場景:token過期重新登錄 長時間未使用需重新登錄
1.登錄成功,後臺jwt生成access_token(jwt有效期7天),並緩存到redis,key爲
"user_id:access_token" + 用戶id,value爲access_token(根據用戶id,可以人工廢除指定用戶全部
token),設置緩存過期時間爲7天,保證最終所有token都能刪除,請求返回後,客戶端緩存此
access_token;
2.使用access_token請求接口資源,校驗成功且redis中存在該access_token(未廢除)則調用成功;如果
token超時,中間件刪除access_token(廢除),同時生成新的access_token並返回。客戶端收到新的
access_token,
再次請求接口資源。
3.客戶端退出登錄或修改密碼後,調用中間件註銷舊的token(中間件刪除access_token(廢除)),同時清
空客戶端側的access_token。
4.以上2 可以增加根據登錄時間判斷最長X時間必須重新登錄,此時則拒絕刷新token。(拒絕的場景:長
時間未登錄,頻繁刷新)
5.如手機丟失,可以根據手機號人工廢除指定用戶設備關聯的token。
4.0 變動
1.登錄
2.登錄攔截器
3.退出登錄
4.修改密碼
最終實現
後端
- 在登錄接口中 如果校驗賬號密碼成功 則根據用戶id和用戶類型創建jwt token(有效期設置爲-1,即永不過期),得到A
- 更新登錄日期(當前時間new Date()即可)(業務上可選),得到B
- 在redis中緩存key爲ACCESS_TOKEN:userId:A(加上A是爲了防止用戶多個客戶端登錄 造成token覆蓋),value爲B的毫秒數(轉換成字符串類型),過期時間爲7天(7 * 24 * 60 * 60)
- 在登錄結果中返回json格式爲{"result":"success","token": A}
- 用戶在接口請求header中攜帶token進行登錄,後端在所有接口前置攔截器進行攔截,作用是解析token 拿到userId和用戶類型(用戶調用業務接口只需要傳token即可), 如果解析失敗(拋出SignatureException),則返回json(code = 0 ,info= Token驗證不通過, errorCode = '1001'); 此外如果解析成功,驗證redis中key爲ACCESS_TOKEN:userId:A 是否存在 如果不存在 則返回json(code = 0 ,info= 會話過期請重新登錄, errorCode = '1002'); 如果緩存key存在,則自動續7天超時時間(value不變),實現頻繁登錄用戶免登陸。
- 把userId和用戶類型放入request參數中 接口方法中可以直接拿到登錄用戶信息
- 如果是修改密碼或退出登錄 則廢除access_tokens(刪除key)
前端(VUE)
- 用戶登錄成功,則把username存入cookie中,key爲loginUser;把token存入cookie中,key爲accessToken 把token存入Vuex全局狀態中
- 進入首頁