昨天 00:30 河北工程大学 Java 发布于辽宁
关注
token的两种登陆实现续约
1安全,前端token不变,但是相当于token后端有状态
2aecsstoken和refash token
设计access_token和refresh_token就是为了提高安全性,但是安全这个问题没有绝对安全,只是提高。access_token用于业务,频繁api请求使用,容易被劫持泄漏,有效期一般比较短,失效了就要用户重新认证,用户体验太差,又不能把用户账号和密码保存本地,并且现在很多业务系统使用outh2,这个账号及密码会关联很多其他业务系统,一旦泄露安全问题就更严重了。refresh_token有效期一般比较长时间,在access_token失效时客户端做失效异常拦截自动使用refresh_token和认证服务器发送请求获取最新access_token,由于使用频率低,在网络泄漏劫持的概率就低了。app等应用中用户主动点击退出,也会将refresh_token在服务端做失效处理。当然认为当前项目系统安全不重要的,完全可以把用户敏感信息和密码保存到客户端本地,刷新令牌随着业务请求一起使用。
2aecsstoken和refash token
设计access_token和refresh_token就是为了提高安全性,但是安全这个问题没有绝对安全,只是提高。access_token用于业务,频繁api请求使用,容易被劫持泄漏,有效期一般比较短,失效了就要用户重新认证,用户体验太差,又不能把用户账号和密码保存本地,并且现在很多业务系统使用outh2,这个账号及密码会关联很多其他业务系统,一旦泄露安全问题就更严重了。refresh_token有效期一般比较长时间,在access_token失效时客户端做失效异常拦截自动使用refresh_token和认证服务器发送请求获取最新access_token,由于使用频率低,在网络泄漏劫持的概率就低了。app等应用中用户主动点击退出,也会将refresh_token在服务端做失效处理。当然认为当前项目系统安全不重要的,完全可以把用户敏感信息和密码保存到客户端本地,刷新令牌随着业务请求一起使用。
全部评论
相关推荐
查看8道真题和解析 点赞 评论 收藏
分享