舷Kelvin 2022-04-22 08:13 采纳率: 61.5%
浏览 83
已结题

关于jwt token自动刷新机制的一些思考和疑惑

一种策略是在服务端专门开一个刷新令牌的接口,另一种是通常的业务接口里就附带判断“即将过期”的功能,然后自动在返回时带上新令牌。

以前一直在用后者,但是发现前者的也很多。刚看到个说法是当客户端并发请求时可能会造成生成一堆新的token返回给前端。(问题大吗?如此小概率的时间尽情让它生也没事吧)

但如果是前者,当刷新间隔小的时候,那个刷新接口会调用很频繁增加很多开销。

如果间隔长,那么前者没啥问题,很清爽,如果间隔短呢,是不是后者更好?减小了刷新接口的通信开销。

或者可以两者并用?

以上是问题一。

然后网上还看到一种长短令牌的策略,大意是登陆成功后生成一长一短(过期时间长短不同)两个token,短的过期长的没过期时就调用刷新令牌的接口,用长令牌当token去重新获取一对长短token。感觉很画蛇添足。你客户端是能拿到过期时间的,自己判断一下距离过期还有多久不就行了吗?但“科普”这策略的博文也有好几篇,不知道是有啥我没考虑到的原因还是天下文章一大抄。
唯一的好处是降低泄露风险?但是你在刷新令牌的请求中带个刷新token专用的密文也是一样的效果吧。(即每次刷新后服务端根据用户身份信息生成一个密文保存在客户端,平时业务请求用不上,只有刷新时才带上,降低被网络嗅探的风险。这在安全性方面不就和长令牌一样么,逻辑更简单还省开销,服务端也不用为了长短令牌再增加一套jwt验证机制出来,原本的jwt验证该怎样还是怎样,因为token没过期,而密文验证功能放业务逻辑里即可)

或者刷新token的接口,直接用不对称加密+临时秘钥的策略来做?那就特别安全了,就不太确定开销是否值得,不知道大家在实际工作中如何取舍。

  • 写回答

2条回答 默认 最新

  • Heerey525 前端领域新星创作者 2022-04-22 10:17
    关注

    我司对外业务应该是cookie的方式,不是jwt方式,登录会返回access_token 和 refresh_token,当access_token过期可以拿 refresh_token 去换取新的 access_token 和 refresh_token

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

问题事件

  • 系统已结题 2月15日
  • 已采纳回答 2月7日
  • 创建了问题 4月22日

悬赏问题

  • ¥15 PADS Logic 原理图
  • ¥15 PADS Logic 图标
  • ¥15 电脑和power bi环境都是英文如何将日期层次结构转换成英文
  • ¥15 DruidDataSource一直closing
  • ¥20 气象站点数据求取中~
  • ¥15 如何获取APP内弹出的网址链接
  • ¥15 wifi 图标不见了 不知道怎么办 上不了网 变成小地球了
  • ¥50 STM32单片机传感器读取错误
  • ¥50 power BI 从Mysql服务器导入数据,但连接进去后显示表无数据
  • ¥15 (关键词-阻抗匹配,HFSS,RFID标签)