Access Token 和 Refresh Token 的双令牌机制,维持登陆状态
目录
- 1. 双令牌机制
- 2. 工作流程
- 3. 客户端实现
- 4. 服务器端实现
- 5. 注意事项
- 拓展:Token在客户端安全存储的几种方式
为了实现客户端在 JWT Token 过期后自动更新 Token,通常会采用 Access Token 和 Refresh Token 的双令牌机制。以下是实现自动更新 Token 的具体方法和流程:
1. 双令牌机制
- Access Token:有效期较短(例如 15 分钟到 1 小时),用于客户端访问受保护的资源。
- Refresh Token:有效期较长(例如 7 天到 30 天),用于刷新过期的 Access Token。
2. 工作流程
-
用户登录:
- 用户提交用户名和密码给服务器。
- 服务器验证成功后,生成 Access Token 和 Refresh Token。
- Access Token 有较短的有效期,而 Refresh Token 有较长的有效期。
-
Access Token 过期:
- 当 Access Token 过期时,客户端在发送请求时会携带过期的 Access Token 和有效的 Refresh Token。
- 客户端不需要让用户重新登录,而是使用 Refresh Token 向服务器请求刷新一个新的 Access Token。
- 服务器验证 Refresh Token,如果有效,则生成新的 Access Token 和新的 Refresh Token(防止 Refresh Token 被盗用),并将它们返回给客户端。
- 客户端用新的 Access Token 继续访问 API。
-
Token 刷新失败:
- 如果 Refresh Token 也过期,或者 Refresh Token 被篡改,服务器会要求用户重新登录。
3. 客户端实现
客户端需要在每次请求时检查 Access Token 是否过期,并在过期时自动使用 Refresh Token 请求新的 Access Token。以下是一个示例流程:
客户端请求逻辑
- 发送请求:
- 客户端发送请求时,携带 Access Token。
- 检查响应:
- 如果服务器返回
401 Unauthorized(表示 Access Token 过期),客户端自动使用 Refresh Token 请求新的 Access Token。
- 如果服务器返回
- 刷新 Token:
- 客户端向服务器发送一个刷新请求,携带 Refresh Token。
- 服务器验证 Refresh Token,如果有效,返回新的 Access Token 和新的 Refresh Token。
- 客户端更新本地存储的 Access Token 和 Refresh Token,并重新发送之前失败的请求。
4. 服务器端实现
服务器端需要提供一个专门的接口用于刷新 Token。以下是一个示例:
from flask import Flask, request, jsonify
import jwt
import datetimeapp = Flask(__name__)
app.config['SECRET_KEY'] = 'your_secret_key_here' # 替换为你的密钥# 模拟用户数据库
users = {"user1": "password1","user2": "password2"
}def create_token(payload, expiry_minutes=60):"""生成 Access Token"""expiry = datetime.datetime.utcnow() + datetime.timedelta(minutes=expiry_minutes)return jwt.encode(payload, app.config['SECRET_KEY'], algorithm='HS256')def create_refresh_token(payload, expiry_days=7):"""生成 Refresh Token"""expiry = datetime.datetime.utcnow() + datetime.timedelta(days=expiry_days)return jwt.encode(payload, app.config['SECRET_KEY'], algorithm='HS256')@app.route('/login', methods=['POST'])
def login():# 获取请求中的用户名和密码username = request.json.get('username')password = request.json.get('password')# 验证用户名和密码if username not in users or users[username] != password:return jsonify({'error': 'Invalid username or password'}), 401# 生成 Access Token 和 Refresh Tokenaccess_token = create_token({"user_id": username})refresh_token = create_refresh_token({"user_id": username})# 返回 Tokenreturn jsonify({'access_token': access_token,'refresh_token': refresh_token})@app.route('/token/refresh', methods=['POST']) # 刷新 Token 的接口
def refresh_token():refresh_token = request.json.get('refresh_token')if not refresh_token:return jsonify({'error': 'Refresh token is missing'}), 400try:# 解码 Refresh Tokenpayload = jwt.decode(refresh_token, app.config['SECRET_KEY'], algorithms=['HS256'])user_id = payload['user_id']# 生成新的 Access Token 和 Refresh Tokennew_access_token = create_token({"user_id": user_id})new_refresh_token = create_refresh_token({"user_id": user_id})return jsonify({'access_token': new_access_token,'refresh_token': new_refresh_token})except jwt.ExpiredSignatureError:return jsonify({'error': 'Refresh token has expired'}), 401except jwt.InvalidTokenError:return jsonify({'error': 'Invalid refresh token'}), 401if __name__ == '__main__':app.run(debug=True)
5. 注意事项
- 安全性:确保 Refresh Token 的安全性,避免泄露。可以对 Refresh Token 的使用次数进行限制。
- 用户体验:通过自动刷新机制,用户无需频繁重新登录,提升用户体验。
- 存储方式:客户端可以将 Token 存储在本地,存储方式可以考虑SQLite 数据库、文件存储、Android Keystore、EncryptedSharedPreferences、SQLCiphe。
拓展:Token在客户端安全存储的几种方式
Token在客户端安全存储的几种方式