細(xì)心的你可能會(huì)發(fā)現(xiàn)，我們?cè)谑褂胊pp的時(shí)候只需要登陸一次賬號(hào)之后下一次打開(kāi)就不需要再次登陸，但經(jīng)過(guò)一段時(shí)間不登錄之后又會(huì)要求我們重新登陸，你知道這是如何實(shí)現(xiàn)的嗎？

      雙token驗(yàn)證

web前端培訓(xùn)雙token1" />

      具體說(shuō)明如下：

      1.根據(jù)需要下載軟件，完成注冊(cè)賬戶(hù)

      2.登錄賬戶(hù)，后端返回 兩個(gè)token信息，分別為 access_token 以及 refresh_token，access_token稱(chēng)之為短token，refresh_token稱(chēng)之為長(zhǎng)token

      3.短token也就是access_token未過(guò)期，所有的請(qǐng)求一切都正常，用戶(hù)需要什么數(shù)據(jù)就返回什么數(shù)據(jù)

      4.access_token 過(guò)期，服務(wù)端返回一個(gè)狀態(tài)碼給客戶(hù)端，客戶(hù)端接收到該狀態(tài)碼之后，使用refresh_token重新獲取一次新的 access_token 和 refresh_token,相當(dāng)于重置token

      5.如果在refresh_token有效期中沒(méi)有使用過(guò)該軟件，意味著refresh_token過(guò)期，使用它獲取新的 access_token 和 refresh_token 時(shí)會(huì)返回新的一個(gè)狀態(tài)碼，提示用戶(hù)必須登錄

      有的人可能會(huì)有如下疑問(wèn)：

      為什么在使用 refresh_token 時(shí)要返回新的 access_token 和 refresh_token，而不是延長(zhǎng) 原來(lái)的 refresh_token 有效期？

      為了安全，如果一旦 refresh_token 被黑客等人員截獲到，他們就一直可以非法使用你的賬號(hào)

      即使一旦被截獲，只要用戶(hù)這邊刷新就會(huì)重新獲取到新的 refresh_token，那么以前的 被截獲的 refresh_token 就會(huì)失效

      token的時(shí)間設(shè)置

      token的時(shí)間設(shè)置需要看需求進(jìn)行劃分區(qū)別設(shè)置：

      PC網(wǎng)絡(luò)應(yīng)用：對(duì)于網(wǎng)絡(luò)應(yīng)用程序而言，由于token可以直接直觀地獲取到，因此不管是accessToken還是refreshToken為了安全起見(jiàn)，其過(guò)期時(shí)間都不應(yīng)該設(shè)置得很長(zhǎng)，且需要不停地更換token，因此PC網(wǎng)絡(luò)應(yīng)用的accessToken一般設(shè)置為2h過(guò)期，而refreshToken設(shè)置為1天到2天比較好，不足1天也是可以的，如果設(shè)置的時(shí)間比較短就在活躍期間時(shí)常刷新freshToken就好了，如果設(shè)置的時(shí)間比較長(zhǎng)，就只需要設(shè)置一個(gè)閾值（比如7day的refreshToken設(shè)置一個(gè)6day閾值），在refreshToken小于等于這個(gè)閾值的時(shí)候就進(jìn)行刷新refreshToken就好了。

      手機(jī)應(yīng)用：對(duì)于手機(jī)APP應(yīng)用而言，登錄操作一般只做一次，因此token的過(guò)期時(shí)間必是無(wú)限，即不會(huì)過(guò)期，不過(guò)為了安全起見(jiàn)（比如防止你丟手機(jī)），token應(yīng)該以某種程度上對(duì)用戶(hù)可見(jiàn)（比如在安全中心里檢驗(yàn)了身份之后可以讓你看到哪些設(shè)備有token，即哪些設(shè)備會(huì)被允許登錄）并可讓用戶(hù)對(duì)其進(jìn)行一定程度上的操作（比如你手機(jī)丟了，然后登錄安全中心移除那個(gè)手機(jī)的token，也就是移除那個(gè)手機(jī)的登陸權(quán)限，從而使那個(gè)手機(jī)的應(yīng)用上的你的帳號(hào)強(qiáng)制下線）

      無(wú)效的Token的處理

      對(duì)于頻繁更換的Token，如何處理舊的未過(guò)期的而又無(wú)效的Token，以下提供了幾個(gè)思路：

      1.簡(jiǎn)單地從瀏覽器中移除token就好了

      顯然，這種方式對(duì)于服務(wù)器方面的安全而言并沒(méi)有什么卵用，但它能通過(guò)移除存在的token來(lái)阻止攻擊者（比如，攻擊者必須在用戶(hù)下線之前竊取到token）

      2.制作一張token黑/白名單

      在移除了瀏覽器存儲(chǔ)的token后如果還想要再?lài)?yán)格點(diǎn)，就只能在服務(wù)器上制作一張已經(jīng)無(wú)效但是沒(méi)過(guò)期的token的黑/白名單了，在每次請(qǐng)求中都操作數(shù)據(jù)庫(kù)進(jìn)行token的匹配，并以某種方式進(jìn)行維護(hù)（不管是黑名單的定期刪除維護(hù)也好，白名單的無(wú)效時(shí)刪除也好），不過(guò)顯然這種方式還是違背了token無(wú)狀態(tài)的初衷，但是除此之外也沒(méi)別的辦法。

      存儲(chǔ)可以按照userId—token的方式存儲(chǔ)在數(shù)據(jù)庫(kù)中（當(dāng)然也可以按你喜歡添加其他字段標(biāo)明其他信息，比如說(shuō)mac地址啦，是手機(jī)還是電腦啦，設(shè)備型號(hào)啦，巴拉巴拉巴拉····），白名單的話直接存儲(chǔ)有效的token，在需要token無(wú)效的邏輯中刪除指定token即可（比如刷新token的時(shí)候把舊的無(wú)效的但未過(guò)期的刪掉）。而如果是黑名單的話就需要你定期去刪除其中已經(jīng)過(guò)期的token了。而驗(yàn)證的話除了要去數(shù)據(jù)庫(kù)名單里匹配之外還需要驗(yàn)證token本身的有效性。

      3.只需要將token的過(guò)期時(shí)間設(shè)置的足夠短就行了

      如何刷新Token（引用自github）

      以上就是雙token登陸驗(yàn)證的介紹了，同學(xué)們不妨親自去試試，最后如果你對(duì)web前端培訓(xùn)感興趣的話，不妨來(lái)千鋒WEB前端培訓(xùn)班參加我們的web前端培訓(xùn)課程的學(xué)習(xí)，現(xiàn)在咨詢(xún)更有免費(fèi)學(xué)習(xí)資料可以領(lǐng)取，還有海量免費(fèi)學(xué)習(xí)資料，趕緊去了解一下吧。