DEV Community
·
会话管理、令牌与刷新令牌
💡
原文英文,约1000词,阅读约需4分钟。
📝
内容提要
基于令牌的身份验证系统中,工作周期包括会话过期、刷新令牌和重新登录。访问令牌有效期短(15-30分钟),用于认证请求;刷新令牌有效期长(数周或数月),可在访问令牌过期时获取新令牌。若刷新令牌过期,用户需重新登录,确保安全性与用户体验。
🎯
关键要点
- 基于令牌的身份验证系统的工作周期包括会话过期、刷新令牌和重新登录。
- 访问令牌有效期短(15-30分钟),用于认证请求。
- 刷新令牌有效期长(数周或数月),可在访问令牌过期时获取新令牌。
- 若刷新令牌过期,用户需重新登录以确保安全性与用户体验。
- 会话过期发生在令牌或会话达到有效期时。
- 当访问令牌过期时,客户端需要使用刷新令牌获取新令牌或强制用户重新登录。
- 刷新令牌通常安全存储,仅在访问令牌过期时发送。
- 如果刷新令牌有效,用户可以在不重新登录的情况下获取新访问令牌。
- 如果刷新令牌过期或无效,用户必须重新登录以生成新令牌。
- 用户初次登录时,服务器会发放访问令牌和刷新令牌。
- 访问令牌用于认证API请求,刷新令牌则安全存储。
- 当访问令牌过期后,客户端会检测到并发送刷新令牌以获取新访问令牌。
- 如果刷新令牌有效,服务器会发放新访问令牌;如果无效,用户需重新登录。
- 访问令牌用于大多数API请求,通常有效期较短。
- 刷新令牌用于在访问令牌过期时获取新令牌,通常有效期较长。
- 当访问和刷新令牌均过期或被撤销时,用户必须再次提供凭据。
❓
延伸问答
访问令牌和刷新令牌的有效期分别是多少?
访问令牌的有效期通常为15到30分钟,而刷新令牌的有效期通常为数周或数月。
当访问令牌过期时,客户端应该怎么做?
当访问令牌过期时,客户端需要使用刷新令牌获取新的访问令牌,或者强制用户重新登录。
刷新令牌的作用是什么?
刷新令牌的作用是允许用户在访问令牌过期时获取新的访问令牌,而无需重新登录。
用户何时需要重新登录?
用户需要重新登录的情况包括刷新令牌过期、用户手动注销或刷新令牌被服务器撤销。
如何安全存储刷新令牌?
刷新令牌通常安全存储在HTTP-only cookies中,并且不会在每个请求中发送,仅在访问令牌过期时发送。
会话过期是如何发生的?
会话过期发生在访问令牌或刷新令牌达到其有效期时,导致用户需要重新认证。
➡️
