JWT中的刷新和访问令牌流
在JWT(JSON Web Tokens)中,通常会使用两种类型的令牌:访问令牌(Access Tokens)和刷新令牌(Refresh Tokens)。这两种令牌都是用于身份验证和授权的,但它们的用途和生命周期不同。
- 访问令牌(Access Tokens):这是用于访问受保护资源的令牌。当用户成功登录后,服务器会发放一个访问令牌。然后,用户可以使用这个令牌来访问服务器上的受保护资源。访问令牌的生命周期通常较短,例如15分钟或1小时。
- 刷新令牌(Refresh Tokens):这是用于获取新的访问令牌的令牌。当访问令牌过期后,用户可以使用刷新令牌来获取一个新的访问令牌,而无需重新登录。刷新令牌的生命周期通常较长,例如24小时或7天。
以下是一个典型的使用访问令牌和刷新令牌的流程:
- 用户向服务器发送登录请求。
- 服务器验证用户的凭据。如果凭据有效,服务器会生成一个访问令牌和一个刷新令牌,然后将这两个令牌发送给用户。
- 用户存储这两个令牌,然后使用访问令牌来访问服务器上的受保护资源。
- 当访问令牌过期后,用户使用刷新令牌向服务器请求一个新的访问令牌。
- 服务器验证刷新令牌。如果刷新令牌有效,服务器会生成一个新的访问令牌,然后将这个新的访问令牌发送给用户。
- 用户使用新的访问令牌来访问服务器上的受保护资源。
这种方式的好处是,即使访问令牌被盗,攻击者也只能在短时间内访问受保护资源。而且,由于刷新令牌的生命周期较长,用户无需频繁登录。
相关·内容
1回答
我已经开发了一个标准的JWT系统,它可以登录并发出访问令牌和刷新令牌。访问令牌在短时间后到期,并且存在刷新令牌的路径。 我使用axios发出请求,但我不确定如何处理过期的令牌。例如,如果我使用访问令牌向/secret_route发出请求,但令牌已过期,我是否需要等待403,然后向/refresh_token发出请求,然后再次发
浏览 31提问于2020-08-06得票数 0
回答已采纳
这就是为什么我想知道只使用JWTs而不使用像OpenID/Oauth2这样的广泛使用的标准仍然安全吗?
浏览 10提问于2021-07-02得票数 1
我使用的是java DocuS传客户端。我从路径开始使用OAuth2,但随后发现刷新令牌过期,从我正在读取的内容来看,用户将不得不再次进行身份验证(每次用户交互)。通常,刷新不会过期,但访问令牌会过期。我没看错吗?
我希望用户进行一次身份验证,使应用程序能够使用该令牌,而不必再次请求用户访问。因此,我开始研究JWT,没有找到我需要的文档。使用JWT,我可以获得帐户的用户信息。但不能调用模板。Temp
浏览 0提问于2018-08-26得票数 0
回答已采纳
1回答
实现连接器的部分过程是编写一个从AuthBase扩展requests.auth类的身份验证例程。
JWT授予的访问令牌在一个小时后到期,并且不提供刷新令牌。在令牌过期后,您必须生成一个新的JWT并将其交换为一个新的访问令牌。您可以重用大部分旧断言,
浏览 3提问于2022-02-24得票数 0
回答已采纳
我有以下工作的2LA流程:
RS能够使用AS上的/check_token端点验证访问令牌。问题,在上面的步骤1中,当它接受基于JWT的</e
浏览 5提问于2016-01-15得票数 0
2回答
我有一个公共客户机,它获取JWT访问令牌。我需要它来获得另一个(不是刷新,而是为了其他目的),而且我需要它在没有用户交互的情况下完成。因此,我试图弄清楚是否有一个标准的OAuth流,在这里我可以使用(在以前的OAuth流中发布的)访问令牌来为另一个OAuth流进行身份验证(因为它是公共客户端,所以不能使用客户端机密进行身份验证)。我发现的所有东西都不是完美匹配的。
浏览 9提问于2022-02-08得票数 0
2回答
JWT刷新和访问令牌
、、、
我在我的项目中使用jwt令牌。长寿命刷新令牌,用于对受保护资源的身份验证和短期访问令牌。刷新令牌保存在仅限http的cookie中,以降低xss攻击的风险。访问令牌将只存储在我的前端的vuex存储中。如果用户更改密码,我应该更新刷新令牌吗?我不将刷新令牌存储在数据库中
浏览 3提问于2021-10-29得票数 0
回答已采纳
我使用在中定义的内存中客户端的变体,在登录到Identity Server并被重定向之后,URI是这样的,id_token和access_token是完全相同的JWT。
这是明智的行为吗?为什么你希望id_token和access_token永远是一样的呢?如果你不关心access_token
浏览 1提问于2018-06-26得票数 1
回答已采纳
1回答
如何手动终止django rest框架JWT令牌?因为它没有将令牌存储在数据库中。有什么正确的方法使令牌过期吗?
我正在考虑继续使用中间件,其中每个用户都将存储令牌。在每次登录请求时,我们将为用户更新db中的令牌。在每次请求时,我们将从请求中获取令牌,并与存储的令牌进行通信,如果不匹配,我们将返回禁止的令牌。我
浏览 1提问于2019-03-11得票数 4
2回答
使用JWT实现了Django REST和身份验证。对于JWT令牌,我们必须在它过期之前对其进行刷新。过期后,JWT将不会提供新的令牌。对于我的移动设备,我需要每10分钟(JWT_EXPIRATION_DELTA)刷新一次令牌。如果用户没有活动超过10分钟,那么我需要要求登录。有没有什么方法可以在JWT令牌过期后刷新令牌。(我们可以将刷新时间限制为2天)
在Mobile中</
浏览 1提问于2017-03-02得票数 7
回答已采纳
2回答
api端点将受到保护,因此为了安全起见,我想使用带有JWT的OAuth流。我的流程会是这样的:发出访问令牌(JWT)并刷新令牌以获得有效的凭据如果过期-发送401并期望接收刷新令牌,该令牌将被验证,并将发出新的访问令牌</em
浏览 0提问于2016-11-23得票数 2
回答已采纳
我们正在开发与DocuSign的集成。我们使用嵌入式签名和JWT身份验证。我们从DocuSign合作伙伴解决方案团队收到信息,在JWT身份验证中,我们可以将访问令牌的过期时间设置为很长时间。基于这些信息,我设计了解决方案,因此我们手动执行JWT身份验证流程:获得用户同意,生成JWT,将过期设置为一年,并使用它获得一个长期过期的访问令牌。
现在我们走出沙箱开始生产。我们正在测试该解决
浏览 2提问于2020-01-19得票数 0
回答已采纳
我用IdentityServer4创建一个令牌,我复制这个,我只修改它public static IEnumerable<Client> GetClientsAccessTokenLifetime = 10, };我的令牌应该在10秒内过期,每10秒我就有一个刷新令牌,但是我不知道如何测试它。我做了这样的事:
v
浏览 2提问于2019-12-02得票数 1
我有一个非常具体的设置:
使RestCall到打WebApi电话到我所取得的成就:
我怎样才能做到这一点?因为我无法获得登录用户的
浏览 3提问于2016-07-27得票数 0
1回答
我正在尝试理解如何在我的应用程序中实现JWT令牌身份验证。
据我所知,用户在登录请求中输入凭据(user+password),并接收访问令牌(比如30分钟)和刷新令牌(比如60天)。每当访问令牌过期时,我将使用username+refreshtoken创建一个新的访问令牌。1) 第一个问题:每当发生这种情况时,我的主屏幕请求都会失败,直到我获得新
浏览 1提问于2017-08-01得票数 1
回答已采纳
我正面临一个无效令牌的问题。我正在用django rest框架测试simple_jwt,当我登录TokenObtainPairView的端点时,我会收到刷新和访问令牌,但是当我在jwt.io上验证该令牌时,我有无效的签名。很明显,我的simple_jwt给了我错误的标记。我不知道问题出在哪里。经过研究,我想我可能需要改变'SIGNING_KEY'
浏览 4提问于2022-05-21得票数 1
与只使用一个JWT令牌相比,同时拥有刷新令牌和访问令牌的系统“更安全”吗? 据我所知,在第一种情况下,如果有有效的刷新令牌,服务器将使用访问令牌进行响应(如果前一个令牌尚未过期,则不会响应)。在这种情况下,当中间人窃取访问令牌时,他们将有非常有限的时间来使用它(因为它们通常是短暂的)。 但是:如果中间人窃取刷新令牌</e
浏览 34提问于2020-07-28得票数 1
回答已采纳
我正在致力于将Keycloak集成到现有的应用程序中。作为这个过程的一部分,我需要测试web应用程序是否可以接受从keycloak生成的JWT令牌。我已经阅读了API文档,但找不到任何用于创建JWT令牌的方法。
有没有人知道在Keycloak中创建JWT令牌的REST API方法?
浏览 4提问于2018-02-20得票数 9
我尝试将用于我们的OAuth实现。{ ClientCredentials: 'jwt', }
浏览 6提问于2022-05-05得票数 0
如果我正在创建一个带有RESTful后端的web应用程序,那么考虑到我不想连接社交媒体(Facebook、Google+等),OAuth 2.0真的有必要吗?我正在考虑放弃OAuth2.0并执行以下操作:
有一个过滤器,检查JWT令牌,并将该令牌与redis/db中的标记匹配如果存在令牌,则允许用户<
浏览 4提问于2016-08-14得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
云直播活动推荐
腾讯云开发者
