如何设置token有效期【5个应用场景分析+双token实现解析】

本文涉及的产品
云数据库 Tair(兼容Redis),内存型 2GB
Redis 开源版,标准版 2GB
推荐场景:
搭建游戏排行榜
云解析 DNS,旗舰版 1个月
简介: 如何设置token有效期【5个应用场景分析+双token实现解析】

前言:

 Token最常见的应用场景之一就是身份验证。在传统的身份验证方式中,用户需要输入用户名和密码才能登录系统,这种方式容易被破解和盗用。而使用token方式进行身份验证,可以有效防止用户身份信息被盗用。


 当用户进行身份验证后,服务器会生成一个token并将其返回给客户端,客户端可以使用token来访问受保护的资源,而不需要重新输入用户名和密码。这种方式不仅可以提高安全性,还可以提高用户体验。

场景一:网吧计时

场景分析:

  严格规定登陆时长,超时则跳转登陆页面,必须重新输入密码才能继续使用


对token的要求:

 登陆成功后,服务器生成的token需要携带时间戳(token时间戳=当前时间+有效时长),后台定制一个有效期时长,在网吧计时收费场景中有效范围就是可以上机的时长。


 每次请求都要校验token是否过期( 时间戳是否小于现在时间)


 token也只用存在浏览器缓存即可,减少服务器端的存储压力。

实操:

javaWebToken为例:

    <!-- 引入jwt -->
    <dependency>
        <groupId>com.auth0</groupId>
        <artifactId>java-jwt</artifactId>
        <version>3.8.2</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.8.0</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-web</artifactId>
        <version>1.8.0</version>
    </dependency>
     /**
     * @description: 生成token
     * @param:  userInfo 用户手机号和用户Id
     * @return: java.lang.String 返回token
     **/
    public static String getToken(String userPhone) {
        try{
            //从当前时间算起,再加上有效时长30分钟
            Date date = new Date(System.currentTimeMillis() + 30*60*1000);
            //用秘钥生成签名
            Algorithm algorithm = Algorithm.HMAC256('P1ooisyGFJhgzrctMOofvaHLuiNFOmktedw');
            //默认头部+载荷(手机号/id)+过期日期+签名=jwt
            String jwtToken= JWT.create()
                    .withClaim("userPhone", userPhone)
                    .withClaim("userId", "xxxxxxx")
                    .withExpiresAt(date)
                    .sign(algorithm);
            return jwtToken;
        }catch (Exception e){
            log.error("用户{}的token生成异常:{}",userPhone,e);
            return null;
        }
    }

验证token有效期:

    // 判断 token 是否过期
    public static String isExpire(String token) {
        DecodedJWT jwt = JWT.decode(token);//解码token
        // 如果token的有效期小于当前时间,则表示已过期,为true
        boolean isExpire = jwt.getExpiresAt().getTime() < System.currentTimeMillis();
        if(isExpire){
           return jwt.getClaim("userPhone").asString();//获取token携带的数据
        }else{
            return null;
        }
    }

拦截请求,开始验证token

public class JwtToken implements AuthenticationToken {
    /**
     * JWT的字符token
     */
    private String token;
    public JwtToken(String token) {
        this.token = token;
    }
    @Override
    public Object getPrincipal() {
        return token;
    }
    @Override
    public Object getCredentials() {
        return token;
    }
}
@Component
public class ShiroRealm extends AuthorizingRealm {
    /**
     * @Title: doGetAuthenticationInfo
     * @description: 校验token是否正确
     * @param:  auth
     * @return: org.apache.shiro.authc.AuthenticationInfo
     **/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
        try{
            String token = (String) auth.getCredentials();
            String userPhone=JwtUtil.isExpire(token);
            return new SimpleAuthenticationInfo(userPhone, token, getName());
        }catch(Exception e){
            throw new AuthenticationException("验证token失败");
        }
    }
}

总结:

优点:

  • 严格规定登陆时长,简单来说就是安全性高。
  • 代码逻辑简单,token过期了就重定向到登陆页面,不需要做延时等处理。

缺点:

  • 时间一到就跳转到登陆页面,对用户来说非常突然,某种程度上说用户体验非常不好。
  • 用户有可能停留在页面不做任何操作,因此客户端必须定期主动的给服务器发请求(或使用消息队列),以便及时发现校验token过期。


场景二: Esxi系统页面、jumpServer

场景分析:

  Esxi系统页面、jumpServer的web终端页面等,超过一段时间内不操作(例如0.5小时)自动退出登录,再想继续操作需要重新登录。


对token的要求:

  和场景一类似,区别是增加了一个判断:每次请求都会判断token是否快要过期(例如设置token还有10分钟过期)。

  如果将要过期,则重置token有效期(服务器发个新token给客户端);如果已经过期,需要重新登录。


实操:

  重新生成一个新的token,前端收到新的token后把旧token丢弃(前端代码略)


总结:

优点:

  • 用户一直在使用页面,token就会被一直重置,对活跃用户友好。
  • token有效期短,人离开一段时间就无法继续使用软件,这个设计安全性较高。
  • 用户在token过期后再次操作才会要求再次登陆,也就是说,不需要客户端时时给服务器发消息验证token是否有效,减少网络开销。

缺点:

  • 如果有效期设计的短,用户操作也不频繁的情况下,会导致用户频繁登陆,体验较差。合理设置有效期非常重要。


场景三:微信、支付宝等app

场景分析:

  微信、支付宝等手机app,我们一旦安装并登陆以后,除了涉及资金或信息安全的场景需要输入一些密码,基本上我们打开app就能用,不会让我们重复登陆。


对token的要求:

  token有效期设置的很长(3个月、6个月、一年等)

  每次请求还是会验证token有效期,但如果token过期,则发消息给客户端。

  客户端收到消息以后,给服务器发送重置token的请求。

总结:

  适用于安全性有保证的场景(例如手机App:手机有锁屏码等安全机制,涉及到金钱等重要信息还有其他验证方式)

优点:

  • 用户只需要登陆一次,用户体验很好

缺点:

  • 客户端可以发送重置token的请求,故token一直有效,手机锁屏被破解,任何人都能使用,也是个安全隐患。
  • 只用登陆一次,用户很有可能忘记密码,想要避免用户体验差,必须绑定手机号,支持验证码登陆。

场景四:语雀等pc应用程序(双token)

场景分析:

 场景四和场景二类似,区别是用户长时间不使用的情况下才会被强制用户登录。


 例如“语雀”等应用程序,长时间不使用是会被要求重新登录的。


 我们每个人都安装过一些使用频率不高的软件,这些软件在产品设计时就决定了用户的使用频率和周期,那他们是如何界定“一直在使用的活跃用户”和“长时间不使用的非活跃用户”呢?



 还是靠设置token有效期,有效期设置的长一些,例如3个月或6个月不使用才算非活跃用户。


 但是如何沿用场景二的token要求,设置有效期长的token,会留下很大的安全隐患:token一旦被黑客截获后长时间可以被使用,还不会被服务器察觉。


解决方案:双token

 什么是双token?以现有的短token的基础上再增加一个长token,形成两个token校验有效期的模式。


 短token可以防止被截获后无休止使用,所以还要使用有效期短的token用来验证有效期。


 而新增加的长token,它的有效期用来区分“活跃用户”和“非活跃用户”,用来实现短token过期后,活跃用户系统自动给重置token,非活跃用户需要重新登录。

对token的要求:

 用户登录成功后,服务器生成一短一长两个token返回给客户端,客户端每次请求服务器携带的是短token。


  如果服务器发现短token过期,则通知给客户端,此时客户端携带长token给服务器校验。


 如果长token未过期,表示用户为“活跃用户”,服务器重置短token和长token发给客户端。

 如果长token过期,表示用户为“非活跃用户”,用户需要重新登录。

总结:

优点:

  • 帮助使用频率不高的软件区别“活跃用户”和“非活跃用户”,提升“活跃用户”的体验,保证“非活跃用户”的信息安全

缺点:

  • 刷新token期间,原有的token不能用,在并发情况下会导致其他问题。


场景五:提升响应速度(redis)

场景分析:

  场景一到四的共同点:①token内置了时间戳,②服务器端不存储token

  场景五是对以上以上四个场景在验证速度上的优化,亲测使用redis可以提高2-4倍的验证速度。

对token的要求:

 token内不设置时间戳,而是将token存在redis中(例如:键为token,值为用户信息),并设置token存在redis中的保存时间。


 客户端仍然保存着token,每次请求都携带token。服务器接到请求,把token当做键去redis中拿数据:


 如果能拿出数据,则说名token没过期,如果拿不到,则说明token过期了。


 想要重置token有效期,直接根据键重置数据在redis中的有效期。

实操:

        <!--redis-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
            <version>3.0.0</version>
        </dependency>

redis工具类

/**
 * Redis工具类
 */
@Component
public final class RedisUtil<V> {
    @Autowired
    private RedisTemplate<String, String> redisTemplate;
    /**
     * 普通缓存获取
     * @param key 键
     * @return 值
     */
    public String get(String key) {
        return key == null ? null : (String) redisTemplate.opsForValue().get(key);
    }
    /**
     * 根据key 获取过期时间
     * @param key 键 不能为null
     * @return 时间(秒) 返回0代表为永久有效
     */
    public long getExpire(String key) {
        return redisTemplate.getExpire(key, TimeUnit.SECONDS);
    }
        /**
     * HashSet 并设置时间
     * @param key  键
     * @param map  对应多个键值
     * @param time 时间(秒)
     * @return true成功 false失败
     */
    public boolean hmset(String key, Map<String, Object> map, long time) {
        try {
            redisTemplate.opsForHash().putAll(key, map);
            if (time > 0) {
                expire(key, time);
            }
            return true;
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
    }
}

拦截请求,开始验证token

public class ShiroRealm extends AuthorizingRealm {
    @Autowired
    private RedisUtil redisUtil;
   /**
     * @Title: doGetAuthenticationInfo
     * @description: 校验token是否正确
     * @param:  auth
     * @return: org.apache.shiro.authc.AuthenticationInfo
     **/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {
        //不使用token验证来校验token是否可用,改成把token存redis中,在redis中设置数据有效期
        String token = (String) auth.getCredentials();
        if (StringUtils.isEmpty(token)) {
            throw new AuthenticationException(Constant.TOKEN_EXPIRED);
        }
        //判断是否能从redis中用token拿到过期时间
        try{
            Long times=redisUtil.getExpire(token);
            //如果还有0.5小时过期,就刷新token在redis中的有效时间(有效期设置为2小时)
            if(1800>times){
                redisUtil.expire(token,7200);
            }
            String userId =redisUtil.get(token);  //获取key中的用户id
            return new SimpleAuthenticationInfo(userId, token, getName());
        }catch(Exception e){
            throw new AuthenticationException("验证token失败");
        }
    }
}

验证redis校验速度

       //token时间戳校验
       long startTime=System.currentTimeMillis();   //获取开始时间
       for(int i=0;i<99;i++){
           String userPhone = JwtUtil.isExpire(token);
       }
       long endTime=System.currentTimeMillis(); //获取结束时间
       System.out.println("用时间戳方式校验100次token是否有效: "+(endTime-startTime)+"毫秒");
       //redis校验
       long startTime=System.currentTimeMillis();   //获取开始时间
       for(int i=0;i<99;i++){
           if(StringUtils.isEmpty(redisUtil.get(token))){
               return null;
           }
       }
       long endTime=System.currentTimeMillis(); //获取结束时间
       System.out.println("用redis设置过期时间方式校验100次token是否有效: "+(endTime-startTime)+"毫秒");

总结:

优点:

  • 服务器生成了token就直接存到redis中,token是不会被拦截篡改的,因此默认token是正确的,也就减少了验证token是否正确这一步骤
  • 重置了token,token本身也不会变,减少客户端处理废弃token、再存储新token的逻辑
  • redis的数据存在内存中,IO速度快

缺点:

  • 依赖第三方软件,需要搭建redis服务器,考虑到redis挂了软件也不能使用,还要搭建redis集群

思想升华:

  每种设置token有效期的方案都有对应的场景,抛开场景谈方案是狭隘的。再学习计算机的过程中,我发现无论是磁盘调度方式、内存存储方式、raid0-6,所有方式方法的诞生都和当时的场景相关,并且往往在时间和空间上面进行取舍。所以没有最优的方案,只有当下相对合适的方案。



相关文章
|
2月前
|
机器学习/深度学习 数据采集 存储
时间序列预测新突破:深入解析循环神经网络(RNN)在金融数据分析中的应用
【10月更文挑战第7天】时间序列预测是数据科学领域的一个重要课题,特别是在金融行业中。准确的时间序列预测能够帮助投资者做出更明智的决策,比如股票价格预测、汇率变动预测等。近年来,随着深度学习技术的发展,尤其是循环神经网络(Recurrent Neural Networks, RNNs)及其变体如长短期记忆网络(LSTM)和门控循环单元(GRU),在处理时间序列数据方面展现出了巨大的潜力。本文将探讨RNN的基本概念,并通过具体的代码示例展示如何使用这些模型来进行金融数据分析。
346 2
|
27天前
|
数据采集 自然语言处理 搜索推荐
基于qwen2.5的长文本解析、数据预测与趋势分析、代码生成能力赋能esg报告分析
Qwen2.5是一款强大的生成式预训练语言模型,擅长自然语言理解和生成,支持长文本解析、数据预测、代码生成等复杂任务。Qwen-Long作为其变体,专为长上下文场景优化,适用于大型文档处理、知识图谱构建等。Qwen2.5在ESG报告解析、多Agent协作、数学模型生成等方面表现出色,提供灵活且高效的解决方案。
126 49
|
18天前
|
测试技术 开发者 Python
使用Python解析和分析源代码
本文介绍了如何使用Python的`ast`模块解析和分析Python源代码,包括安装准备、解析源代码、分析抽象语法树(AST)等步骤,展示了通过自定义`NodeVisitor`类遍历AST并提取信息的方法,为代码质量提升和自动化工具开发提供基础。
32 8
|
16天前
|
调度 开发者
核心概念解析:进程与线程的对比分析
在操作系统和计算机编程领域,进程和线程是两个基本而核心的概念。它们是程序执行和资源管理的基础,但它们之间存在显著的差异。本文将深入探讨进程与线程的区别,并分析它们在现代软件开发中的应用和重要性。
34 4
|
27天前
|
数据采集 存储 自然语言处理
基于Qwen2.5的大规模ESG数据解析与趋势分析多Agent系统设计
2022年中国上市企业ESG报告数据集,涵盖制造、能源、金融、科技等行业,通过Qwen2.5大模型实现报告自动收集、解析、清洗及可视化生成,支持单/多Agent场景,大幅提升ESG数据分析效率与自动化水平。
|
2月前
|
域名解析 网络协议
非阿里云注册域名如何在云解析DNS设置解析?
非阿里云注册域名如何在云解析DNS设置解析?
|
2月前
|
存储 SQL 分布式计算
湖仓一体架构深度解析:构建企业级数据管理与分析的新基石
【10月更文挑战第7天】湖仓一体架构深度解析:构建企业级数据管理与分析的新基石
135 1
|
2月前
|
弹性计算 负载均衡 网络协议
内部名称解析设置阿里云私有 DNS 区域,针对于阿里云国际版经验教程
内部名称解析设置阿里云私有 DNS 区域,针对于阿里云国际版经验教程
|
2月前
|
监控 物联网 网络架构
|
2月前
|
自动驾驶 5G 网络架构

推荐镜像

更多