【IT老齐025】JWT续签
【IT老齐025】JWT续签
情况
不允许改变Token令牌实现续签
允许改变JWT实现续签
refresh_token和access_token的设计最根本的原因是因为 token验证服务器 和 token分发服务器 是分离的,换句话说 refresh_token 从来没有发送到真正执行验证的业务服务器上面过 这样保证了安全性(流程是access_token去业务服务区上验证能不能用,不能用那么客户端拿着refresh_token到真正的token分发服务器上换取新的 access_token 然后再去请求业务服务器)
大部分情况下因为我们把分发和验证放在一台服务器上,所以看不出来这个设计的本质
续约时的重发JWT问题
认证中心设计一个计时Map数据结构
只记录过去n秒内的原始jwt刷新所生成新jwt数据
几秒内如果发现同样的jwt在再次请求刷新,就返回相同的新jwt数据。
浙公网安备 33010602011771号