久久精品国产亚洲高清|精品日韩中文乱码在线|亚洲va中文字幕无码久|伊人久久综合狼伊人久久|亚洲不卡av不卡一区二区|精品久久久久久久蜜臀AV|国产精品19久久久久久不卡|国产男女猛烈视频在线观看麻豆

    1. <style id="76ofp"></style>

      <style id="76ofp"></style>
      <rt id="76ofp"></rt>
      <form id="76ofp"><optgroup id="76ofp"></optgroup></form>
      1. 千鋒教育-做有情懷、有良心、有品質(zhì)的職業(yè)教育機(jī)構(gòu)

        手機(jī)站
        千鋒教育

        千鋒學(xué)習(xí)站 | 隨時隨地免費(fèi)學(xué)

        千鋒教育

        掃一掃進(jìn)入千鋒手機(jī)站

        領(lǐng)取全套視頻
        千鋒教育

        關(guān)注千鋒學(xué)習(xí)站小程序
        隨時隨地免費(fèi)學(xué)習(xí)課程

        當(dāng)前位置:首頁  >  技術(shù)干貨  > 為什么淘寶京東使用不是每次都需要登錄?雙token

        為什么淘寶京東使用不是每次都需要登錄?雙token

        來源:千鋒教育
        發(fā)布人:wjy
        時間: 2022-06-06 12:01:00 1654488060

        ## 背景

         現(xiàn)如今,人人有手機(jī),手機(jī)皆為蘋果安卓等智能手機(jī);

         現(xiàn)如今,人人愛網(wǎng)購,網(wǎng)購皆為淘寶京東等電商平臺。

         喜歡網(wǎng)購的你是否發(fā)現(xiàn),下載好淘寶京東,只要你時不時的用一下它,就不用登錄了。

         為什么呢?

         從技術(shù)的角度而言,當(dāng)用戶在一定的時間內(nèi)使用過該平臺就可以不用再次登錄,但一定要注意的是首次肯定得登錄,如果用戶操過一定的時間沒有使用,就必須得重新登錄,這種方式我們將它稱之為雙token。

        為什么淘寶京東使用不是每次都需要登錄

        ## 流程示意圖

        ![img](https://pic2.zhimg.com/80/v2-e568451b35740a726665d77c97793681_720w.jpg)

        具體說明如下:

        - 1.根據(jù)需要下載軟件,完成注冊賬戶
        - 2.登錄賬戶,后端返回 兩個token信息,分別為 access_token 以及 refresh_token,access_token稱之為短token,refresh_token稱之為長token
        - 3.短token也就是access_token未過期,所有的請求一切都正常,用戶需要什么數(shù)據(jù)就返回什么數(shù)據(jù)
        - 4.access_token 過期,服務(wù)端返回一個狀態(tài)碼給客戶端,客戶端接收到該狀態(tài)碼之后,使用refresh_token重新獲取一次新的 access_token 和 refresh_token,相當(dāng)于重置token
        - 5.如果在refresh_token有效期中沒有使用過該軟件,意味著refresh_token過期,使用它獲取新的 access_token 和 refresh_token 時會返回新的一個狀態(tài)碼,提示用戶必須登錄

        有的人可能會有如下疑問:

        - 為什么在使用 refresh_token 時要返回新的 access_token 和 refresh_token,而不是延長 原來的 refresh_token 有效期?
        - 為了安全,如果一旦 refresh_token 被黑客等人員截獲到,他們就一直可以非法使用你的賬號
        - 即使一旦被截獲,只要用戶這邊刷新就會重新獲取到新的 refresh_token,那么以前的 被截獲的 refresh_token 就會失效

        ## token的時間設(shè)置

        token的時間設(shè)置需要看需求進(jìn)行劃分區(qū)別設(shè)置:

        ### PC網(wǎng)絡(luò)應(yīng)用

        對于網(wǎng)絡(luò)應(yīng)用程序而言,由于token可以直接直觀地獲取到,因此不管是accessToken還是refreshToken為了安全起見,其過期時間都不應(yīng)該設(shè)置得很長,且需要不停地更換token,因此PC網(wǎng)絡(luò)應(yīng)用的accessToken一般設(shè)置為2h過期,而refreshToken設(shè)置為1天到2天比較好,不足1天也是可以的,如果設(shè)置的時間比較短就在活躍期間時常刷新freshToken就好了,如果設(shè)置的時間比較長,就只需要設(shè)置一個閾值(比如7day的refreshToken設(shè)置一個6day閾值),在refreshToken小于等于這個閾值的時候就進(jìn)行刷新refreshToken就好了。

        ### 手機(jī)應(yīng)用

        對于手機(jī)APP應(yīng)用而言,登錄操作一般只做一次,因此token的過期時間必是無限,即不會過期,不過為了安全起見(比如防止你丟手機(jī)),token應(yīng)該以某種程度上對用戶可見(比如在安全中心里檢驗(yàn)了身份之后可以讓你看到哪些設(shè)備有token,即哪些設(shè)備會被允許登錄)并可讓用戶對其進(jìn)行一定程度上的操作(比如你手機(jī)丟了,然后登錄安全中心移除那個手機(jī)的token,也就是移除那個手機(jī)的登陸權(quán)限,從而使那個手機(jī)的應(yīng)用上的你的帳號強(qiáng)制下線)

        ## 無效的Token的處理

        對于頻繁更換的Token,如何處理舊的未過期的而又無效的Token,以下提供了幾個思路:

        1. 簡單地從瀏覽器中移除token就好了

        顯然,這種方式對于服務(wù)器方面的安全而言并沒有什么卵用,但它能通過移除存在的token來阻止攻擊者(比如,攻擊者必須在用戶下線之前竊取到token)

        2) 制作一張token黑/白名單

        在移除了瀏覽器存儲的token后如果還想要再嚴(yán)格點(diǎn),就只能在服務(wù)器上制作一張已經(jīng)無效但是沒過期的token的黑/白名單了,在每次請求中都操作數(shù)據(jù)庫進(jìn)行token的匹配,并以某種方式進(jìn)行維護(hù)(不管是黑名單的定期刪除維護(hù)也好,白名單的無效時刪除也好),不過顯然這種方式還是違背了token無狀態(tài)的初衷,但是除此之外也沒別的辦法。

        存儲可以按照userId—token的方式存儲在數(shù)據(jù)庫中(當(dāng)然也可以按你喜歡添加其他字段標(biāo)明其他信息,比如說mac地址啦,是手機(jī)還是電腦啦,設(shè)備型號啦,巴拉巴拉巴拉····),白名單的話直接存儲有效的token,在需要token無效的邏輯中刪除指定token即可(比如刷新token的時候把舊的無效的但未過期的刪掉)。而如果是黑名單的話就需要你定期去刪除其中已經(jīng)過期的token了。

        而驗(yàn)證的話除了要去數(shù)據(jù)庫名單里匹配之外還需要驗(yàn)證token本身的有效性。

        3)只需要將token的過期時間設(shè)置的足夠短就行了

        ## 如何刷新Token(引用自github)

        ```text
        static refreshToken = (token): string => {
            let optionKeys = ['iat', 'exp', 'iss', 'sub'];
            let newToken;
            let obj = {};

            let now = Math.floor(Date.now()/1000);
            let timeToExpire = (token['exp'] - now);

            if (timeToExpire < (60 * 60)) { //1h
                for (let key in token) {
                    if (optionKeys.indexOf(key) === -1) {
                        obj[key] = token[key];
                    }
                }

                let options = {
                    expiresIn: '7 days',
                    issuer: 'moi',
                    subject: token.sub,
                    algorithm: 'HS256'
                };

                newToken = JWT.sign(obj, Config.get('/jwtSecret'), options);
            }
            else {
                newToken = '';  //no need to refresh, do what you want here.
            }

            return newToken;
        }
        ```

        ## 刷新refreshToken的另一種思路(官網(wǎng))

        ```text
        /**
         * Example to refresh tokens using https://github.com/auth0/node-jsonwebtoken
         * It was requested to be introduced at as part of the jsonwebtoken library,
         * since we feel it does not add too much value but it will add code to mantain
         * we won't include it.
         *
         * I create this gist just to help those who want to auto-refresh JWTs.
         */

        const jwt = require('jsonwebtoken');

        function TokenGenerator (secretOrPrivateKey, secretOrPublicKey, options) {
          this.secretOrPrivateKey = secretOrPrivateKey;
          this.secretOrPublicKey = secretOrPublicKey;
          this.options = options; //algorithm + keyid + noTimestamp + expiresIn + notBefore
        }

        TokenGenerator.prototype.sign = function(payload, signOptions) {
          const jwtSignOptions = Object.assign({}, signOptions, this.options);
          return jwt.sign(payload, this.secretOrPrivateKey, jwtSignOptions);
        }

        // refreshOptions.verify = options you would use with verify function
        // refreshOptions.jwtid = contains the id for the new token
        TokenGenerator.prototype.refresh = function(token, refreshOptions) {
          const payload = jwt.verify(token, this.secretOrPublicKey, refreshOptions.verify);
          delete payload.iat;
          delete payload.exp;
          delete payload.nbf;
          delete payload.jti; //We are generating a new token, if you are using jwtid during signing, pass it in refreshOptions
          const jwtSignOptions = Object.assign({ }, this.options, { jwtid: refreshOptions.jwtid });
          // The first signing converted all needed options into claims, they are already in the payload
          return jwt.sign(payload, this.secretOrPrivateKey, jwtSignOptions);
        }

        module.exports = TokenGenerator;
        ```

        測試模塊:

        ```text
        /**
         * Just few lines to test the behavior.
         */

        const TokenGenerator = require('./token-generator');
        const jwt = require('jsonwebtoken');

        const tokenGenerator = new TokenGenerator('a', 'a', { algorithm: 'HS256', keyid: '1', noTimestamp: false, expiresIn: '2m', notBefore: '2s' })
        token = tokenGenerator.sign({ myclaim: 'something' }, { audience: 'myaud', issuer: 'myissuer', jwtid: '1', subject: 'user' })
        setTimeout(function () {
          token2 = tokenGenerator.refresh(token, { verify: { audience: 'myaud', issuer: 'myissuer' }, jwtid: '2' })
          console.log(jwt.decode(token, { complete: true }))
          console.log(jwt.decode(token2, { complete: true }))
        }, 3000)
        ```

        更多關(guān)于web培訓(xùn)的問題,歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓(xùn)服務(wù)經(jīng)驗(yàn),采用全程面授高品質(zhì)、高體驗(yàn)培養(yǎng)模式,擁有國內(nèi)一體化教學(xué)管理及學(xué)員服務(wù),助力更多學(xué)員實(shí)現(xiàn)高薪夢想。

        tags:
        聲明:本站稿件版權(quán)均屬千鋒教育所有,未經(jīng)許可不得擅自轉(zhuǎn)載。
        10年以上業(yè)內(nèi)強(qiáng)師集結(jié),手把手帶你蛻變精英
        請您保持通訊暢通,專屬學(xué)習(xí)老師24小時內(nèi)將與您1V1溝通
        免費(fèi)領(lǐng)取
        今日已有369人領(lǐng)取成功
        劉同學(xué) 138****2860 剛剛成功領(lǐng)取
        王同學(xué) 131****2015 剛剛成功領(lǐng)取
        張同學(xué) 133****4652 剛剛成功領(lǐng)取
        李同學(xué) 135****8607 剛剛成功領(lǐng)取
        楊同學(xué) 132****5667 剛剛成功領(lǐng)取
        岳同學(xué) 134****6652 剛剛成功領(lǐng)取
        梁同學(xué) 157****2950 剛剛成功領(lǐng)取
        劉同學(xué) 189****1015 剛剛成功領(lǐng)取
        張同學(xué) 155****4678 剛剛成功領(lǐng)取
        鄒同學(xué) 139****2907 剛剛成功領(lǐng)取
        董同學(xué) 138****2867 剛剛成功領(lǐng)取
        周同學(xué) 136****3602 剛剛成功領(lǐng)取
        相關(guān)推薦HOT
        抖音小店照片要求尺寸多大

        在抖音平臺開設(shè)小店已經(jīng)成為了越來越多人的選擇,相信大家已經(jīng)在各大社交平臺上看到有不少小店的推廣。在抖音上,照片是展示產(chǎn)品的重要手段,因...詳情>>

        2023-10-08 16:14:25
        抖音招商團(tuán)長托管服務(wù)費(fèi)怎么退回來

        抖音招商團(tuán)長托管服務(wù)是抖音為有意愿創(chuàng)作內(nèi)容并帶動其他創(chuàng)作者成為團(tuán)隊(duì)成員的用戶提供的一種服務(wù)。通過該服務(wù),招商團(tuán)長可以自主組建團(tuán)隊(duì)并得到...詳情>>

        2023-10-08 16:08:53
        抖音小店怎么做代銷

        抖音已經(jīng)成為了一個非常受歡迎的短視頻應(yīng)用程序,在其中許多用戶都精心打造了自己的小店,用于銷售各種各樣的商品,獲取額外的收入。然而,要想...詳情>>

        2023-10-08 15:28:41
        怎樣開抖音小店帶貨賺錢

        隨著直播帶貨的火熱,越來越多的人開始嘗試通過抖音小店來開展帶貨業(yè)務(wù)。抖音小店是抖音直播帶貨的配套,可以讓用戶在購買直播中產(chǎn)品時就實(shí)現(xiàn)購...詳情>>

        2023-10-08 15:06:36
        能不能幫我打開抖音小店店鋪呢怎么弄

        抖音小店是近年來非常火爆的一個網(wǎng)絡(luò)業(yè)務(wù),也是提供了很多商業(yè)機(jī)會的平臺。對于一個創(chuàng)業(yè)者而言,開設(shè)抖音小店是一個不錯的選擇。但是,許多小店...詳情>>

        2023-10-08 15:01:21
        固镇县| 曲阳县| 民和| 枣阳市| 扎兰屯市| 抚远县| 泸州市| 望江县| 湘潭市| 东莞市| 肥乡县| 准格尔旗| 平乡县| 泾阳县| 高唐县| 济阳县| 余江县| 肇庆市| 波密县| 策勒县| 德兴市| 万山特区| 淮阳县| 平顶山市| 大邑县| 楚雄市| 徐州市| 临桂县| 金溪县| 防城港市| 应用必备| 桂林市| 册亨县| 都江堰市| 伊吾县| 马关县| 茌平县| 邳州市| 湘西| 富锦市| 古丈县|