如何设置token有效期【5个应用场景分析+双token实现解析】

本文涉及的产品
Redis 开源版,标准版 2GB
推荐场景:
搭建游戏排行榜
云数据库 Tair(兼容Redis),内存型 2GB
云解析 DNS,旗舰版 1个月
简介: 如何设置token有效期【5个应用场景分析+双token实现解析】

前言:

 Token最常见的应用场景之一就是身份验证。在传统的身份验证方式中,用户需要输入用户名和密码才能登录系统,这种方式容易被破解和盗用。而使用token方式进行身份验证,可以有效防止用户身份信息被盗用。


 当用户进行身份验证后,服务器会生成一个token并将其返回给客户端,客户端可以使用token来访问受保护的资源,而不需要重新输入用户名和密码。这种方式不仅可以提高安全性,还可以提高用户体验。

场景一:网吧计时

场景分析:

  严格规定登陆时长,超时则跳转登陆页面,必须重新输入密码才能继续使用


对token的要求:

 登陆成功后,服务器生成的token需要携带时间戳(token时间戳=当前时间+有效时长),后台定制一个有效期时长,在网吧计时收费场景中有效范围就是可以上机的时长。


 每次请求都要校验token是否过期( 时间戳是否小于现在时间)


 token也只用存在浏览器缓存即可,减少服务器端的存储压力。

实操:

javaWebToken为例:

    <!-- 引入jwt -->
    <dependency>
        <groupId>com.auth0</groupId>
        <artifactId>java-jwt</artifactId>
        <version>3.8.2</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.8.0</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-web</artifactId>
        <version>1.8.0</version>
    </dependency>
     /**
     * @description: 生成token
     * @param:  userInfo 用户手机号和用户Id
     * @return: java.lang.String 返回token
     **/
    public static String getToken(String userPhone) {
        try{
            //从当前时间算起,再加上有效时长30分钟
            Date date = new Date(System.currentTimeMillis() + 30*60*1000);
            //用秘钥生成签名
            Algorithm algorithm = Algorithm.HMAC256('P1ooisyGFJhgzrctMOofvaHLuiNFOmktedw');
            //默认头部+载荷(手机号/id)+过期日期+签名=jwt
            String jwtToken= JWT.create()
                    .withClaim("userPhone", userPhone)
                    .withClaim("userId", "xxxxxxx")
                    .withExpiresAt(date)
                    .sign(algorithm);
            return jwtToken;
        }catch (Exception e){
            log.error("用户{}的token生成异常:{}",userPhone,e);
            return null;
        }
    }

验证token有效期:

    // 判断 token 是否过期
    public static String isExpire(String token) {
        DecodedJWT jwt = JWT.decode(token);//解码token
        // 如果token的有效期小于当前时间,则表示已过期,为true
        boolean isExpire = jwt.getExpiresAt().getTime() < System.currentTimeMillis();
        if(isExpire){
           return jwt.getClaim("userPhone").asString();//获取token携带的数据
        }else{
            return null;
        }
    }

拦截请求,开始验证token

public class JwtToken implements AuthenticationToken {
    /**
     * JWT的字符token
     */
    private String token;
    public JwtToken(String token) {
        this.token = token;
    }
    @Override
    public Object getPrincipal() {
        return token;
    }
    @Override
    public Object getCredentials() {
        return token;
    }
}
@Component
public class ShiroRealm extends AuthorizingRealm {
    /**
     * @Title: doGetAuthenticationInfo
     * @description: 校验token是否正确
     * @param:  auth
     * @return: org.apache.shiro.authc.AuthenticationInfo
     **/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
        try{
            String token = (String) auth.getCredentials();
            String userPhone=JwtUtil.isExpire(token);
            return new SimpleAuthenticationInfo(userPhone, token, getName());
        }catch(Exception e){
            throw new AuthenticationException("验证token失败");
        }
    }
}

总结:

优点:

  • 严格规定登陆时长,简单来说就是安全性高。
  • 代码逻辑简单,token过期了就重定向到登陆页面,不需要做延时等处理。

缺点:

  • 时间一到就跳转到登陆页面,对用户来说非常突然,某种程度上说用户体验非常不好。
  • 用户有可能停留在页面不做任何操作,因此客户端必须定期主动的给服务器发请求(或使用消息队列),以便及时发现校验token过期。


场景二: Esxi系统页面、jumpServer

场景分析:

  Esxi系统页面、jumpServer的web终端页面等,超过一段时间内不操作(例如0.5小时)自动退出登录,再想继续操作需要重新登录。


对token的要求:

  和场景一类似,区别是增加了一个判断:每次请求都会判断token是否快要过期(例如设置token还有10分钟过期)。

  如果将要过期,则重置token有效期(服务器发个新token给客户端);如果已经过期,需要重新登录。


实操:

  重新生成一个新的token,前端收到新的token后把旧token丢弃(前端代码略)


总结:

优点:

  • 用户一直在使用页面,token就会被一直重置,对活跃用户友好。
  • token有效期短,人离开一段时间就无法继续使用软件,这个设计安全性较高。
  • 用户在token过期后再次操作才会要求再次登陆,也就是说,不需要客户端时时给服务器发消息验证token是否有效,减少网络开销。

缺点:

  • 如果有效期设计的短,用户操作也不频繁的情况下,会导致用户频繁登陆,体验较差。合理设置有效期非常重要。


场景三:微信、支付宝等app

场景分析:

  微信、支付宝等手机app,我们一旦安装并登陆以后,除了涉及资金或信息安全的场景需要输入一些密码,基本上我们打开app就能用,不会让我们重复登陆。


对token的要求:

  token有效期设置的很长(3个月、6个月、一年等)

  每次请求还是会验证token有效期,但如果token过期,则发消息给客户端。

  客户端收到消息以后,给服务器发送重置token的请求。

总结:

  适用于安全性有保证的场景(例如手机App:手机有锁屏码等安全机制,涉及到金钱等重要信息还有其他验证方式)

优点:

  • 用户只需要登陆一次,用户体验很好

缺点:

  • 客户端可以发送重置token的请求,故token一直有效,手机锁屏被破解,任何人都能使用,也是个安全隐患。
  • 只用登陆一次,用户很有可能忘记密码,想要避免用户体验差,必须绑定手机号,支持验证码登陆。

场景四:语雀等pc应用程序(双token)

场景分析:

 场景四和场景二类似,区别是用户长时间不使用的情况下才会被强制用户登录。


 例如“语雀”等应用程序,长时间不使用是会被要求重新登录的。


 我们每个人都安装过一些使用频率不高的软件,这些软件在产品设计时就决定了用户的使用频率和周期,那他们是如何界定“一直在使用的活跃用户”和“长时间不使用的非活跃用户”呢?



 还是靠设置token有效期,有效期设置的长一些,例如3个月或6个月不使用才算非活跃用户。


 但是如何沿用场景二的token要求,设置有效期长的token,会留下很大的安全隐患:token一旦被黑客截获后长时间可以被使用,还不会被服务器察觉。


解决方案:双token

 什么是双token?以现有的短token的基础上再增加一个长token,形成两个token校验有效期的模式。


 短token可以防止被截获后无休止使用,所以还要使用有效期短的token用来验证有效期。


 而新增加的长token,它的有效期用来区分“活跃用户”和“非活跃用户”,用来实现短token过期后,活跃用户系统自动给重置token,非活跃用户需要重新登录。

对token的要求:

 用户登录成功后,服务器生成一短一长两个token返回给客户端,客户端每次请求服务器携带的是短token。


  如果服务器发现短token过期,则通知给客户端,此时客户端携带长token给服务器校验。


 如果长token未过期,表示用户为“活跃用户”,服务器重置短token和长token发给客户端。

 如果长token过期,表示用户为“非活跃用户”,用户需要重新登录。

总结:

优点:

  • 帮助使用频率不高的软件区别“活跃用户”和“非活跃用户”,提升“活跃用户”的体验,保证“非活跃用户”的信息安全

缺点:

  • 刷新token期间,原有的token不能用,在并发情况下会导致其他问题。


场景五:提升响应速度(redis)

场景分析:

  场景一到四的共同点:①token内置了时间戳,②服务器端不存储token

  场景五是对以上以上四个场景在验证速度上的优化,亲测使用redis可以提高2-4倍的验证速度。

对token的要求:

 token内不设置时间戳,而是将token存在redis中(例如:键为token,值为用户信息),并设置token存在redis中的保存时间。


 客户端仍然保存着token,每次请求都携带token。服务器接到请求,把token当做键去redis中拿数据:


 如果能拿出数据,则说名token没过期,如果拿不到,则说明token过期了。


 想要重置token有效期,直接根据键重置数据在redis中的有效期。

实操:

        <!--redis-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
            <version>3.0.0</version>
        </dependency>

redis工具类

/**
 * Redis工具类
 */
@Component
public final class RedisUtil<V> {
    @Autowired
    private RedisTemplate<String, String> redisTemplate;
    /**
     * 普通缓存获取
     * @param key 键
     * @return 值
     */
    public String get(String key) {
        return key == null ? null : (String) redisTemplate.opsForValue().get(key);
    }
    /**
     * 根据key 获取过期时间
     * @param key 键 不能为null
     * @return 时间(秒) 返回0代表为永久有效
     */
    public long getExpire(String key) {
        return redisTemplate.getExpire(key, TimeUnit.SECONDS);
    }
        /**
     * HashSet 并设置时间
     * @param key  键
     * @param map  对应多个键值
     * @param time 时间(秒)
     * @return true成功 false失败
     */
    public boolean hmset(String key, Map<String, Object> map, long time) {
        try {
            redisTemplate.opsForHash().putAll(key, map);
            if (time > 0) {
                expire(key, time);
            }
            return true;
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
    }
}

拦截请求,开始验证token

public class ShiroRealm extends AuthorizingRealm {
    @Autowired
    private RedisUtil redisUtil;
   /**
     * @Title: doGetAuthenticationInfo
     * @description: 校验token是否正确
     * @param:  auth
     * @return: org.apache.shiro.authc.AuthenticationInfo
     **/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
        //不使用token验证来校验token是否可用,改成把token存redis中,在redis中设置数据有效期
        String token = (String) auth.getCredentials();
        if (StringUtils.isEmpty(token)) {
            throw new AuthenticationException(Constant.TOKEN_EXPIRED);
        }
        //判断是否能从redis中用token拿到过期时间
        try{
            Long times=redisUtil.getExpire(token);
            //如果还有0.5小时过期,就刷新token在redis中的有效时间(有效期设置为2小时)
            if(1800>times){
                redisUtil.expire(token,7200);
            }
            String userId =redisUtil.get(token);  //获取key中的用户id
            return new SimpleAuthenticationInfo(userId, token, getName());
        }catch(Exception e){
            throw new AuthenticationException("验证token失败");
        }
    }
}

验证redis校验速度

       //token时间戳校验
       long startTime=System.currentTimeMillis();   //获取开始时间
       for(int i=0;i<99;i++){
           String userPhone = JwtUtil.isExpire(token);
       }
       long endTime=System.currentTimeMillis(); //获取结束时间
       System.out.println("用时间戳方式校验100次token是否有效: "+(endTime-startTime)+"毫秒");
       //redis校验
       long startTime=System.currentTimeMillis();   //获取开始时间
       for(int i=0;i<99;i++){
           if(StringUtils.isEmpty(redisUtil.get(token))){
               return null;
           }
       }
       long endTime=System.currentTimeMillis(); //获取结束时间
       System.out.println("用redis设置过期时间方式校验100次token是否有效: "+(endTime-startTime)+"毫秒");

总结:

优点:

  • 服务器生成了token就直接存到redis中,token是不会被拦截篡改的,因此默认token是正确的,也就减少了验证token是否正确这一步骤
  • 重置了token,token本身也不会变,减少客户端处理废弃token、再存储新token的逻辑
  • redis的数据存在内存中,IO速度快

缺点:

  • 依赖第三方软件,需要搭建redis服务器,考虑到redis挂了软件也不能使用,还要搭建redis集群

思想升华:

  每种设置token有效期的方案都有对应的场景,抛开场景谈方案是狭隘的。再学习计算机的过程中,我发现无论是磁盘调度方式、内存存储方式、raid0-6,所有方式方法的诞生都和当时的场景相关,并且往往在时间和空间上面进行取舍。所以没有最优的方案,只有当下相对合适的方案。



相关文章
|
1月前
|
机器学习/深度学习 数据采集 存储
时间序列预测新突破:深入解析循环神经网络(RNN)在金融数据分析中的应用
【10月更文挑战第7天】时间序列预测是数据科学领域的一个重要课题,特别是在金融行业中。准确的时间序列预测能够帮助投资者做出更明智的决策,比如股票价格预测、汇率变动预测等。近年来,随着深度学习技术的发展,尤其是循环神经网络(Recurrent Neural Networks, RNNs)及其变体如长短期记忆网络(LSTM)和门控循环单元(GRU),在处理时间序列数据方面展现出了巨大的潜力。本文将探讨RNN的基本概念,并通过具体的代码示例展示如何使用这些模型来进行金融数据分析。
218 2
|
1月前
|
域名解析 网络协议
非阿里云注册域名如何在云解析DNS设置解析?
非阿里云注册域名如何在云解析DNS设置解析?
|
1月前
|
存储 SQL 分布式计算
湖仓一体架构深度解析:构建企业级数据管理与分析的新基石
【10月更文挑战第7天】湖仓一体架构深度解析:构建企业级数据管理与分析的新基石
68 1
ly~
|
1月前
|
网络协议 应用服务中间件 Apache
如何在 DNS 记录中设置反向代理服务器?
要设置反向代理服务器,首先需安装配置软件(如 Nginx 或 Apache),并确保域名正确指向服务器 IP。接着,在 DNS 中设置 A 或 CNAME 记录,将域名指向反向代理服务器。然后编辑 Nginx 或 Apache 的配置文件,将请求转发至后端服务器。最后,通过浏览器访问域名测试配置是否成功,并使用工具检查请求流向和响应情况。
ly~
123 3
|
1月前
|
弹性计算 负载均衡 网络协议
内部名称解析设置阿里云私有 DNS 区域,针对于阿里云国际版经验教程
内部名称解析设置阿里云私有 DNS 区域,针对于阿里云国际版经验教程
|
22天前
|
监控 物联网 网络架构
|
2月前
|
XML 数据格式 Python
python 解析xml遇到xml.etree.ElementTree.ParseError: not well-formed (invalid token): |4-8
python 解析xml遇到xml.etree.ElementTree.ParseError: not well-formed (invalid token): |4-8
|
2月前
|
存储 缓存 自然语言处理
深度解析ElasticSearch:构建高效搜索与分析的基石
【9月更文挑战第8天】在数据爆炸的时代,如何快速、准确地从海量数据中检索出有价值的信息成为了企业面临的重要挑战。ElasticSearch,作为一款基于Lucene的开源分布式搜索和分析引擎,凭借其强大的实时搜索、分析和扩展能力,成为了众多企业的首选。本文将深入解析ElasticSearch的核心原理、架构设计及优化实践,帮助读者全面理解这一强大的工具。
176 7
|
1月前
|
自动驾驶 5G 网络架构
|
2月前
|
存储 安全 NoSQL
Cookie、Session、Token 解析
Cookie、Session、Token 解析
59 0

推荐镜像

更多