首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐学习书目
Learn Python the Hard Way
Python 学习手册
Python Cookbook
Python 基础教程
Python Sites
PyPI - Python Package Index
http://www.simple-is-better.com/
http://diveintopython.org/toc/index.html
Pocoo
值得关注的项目
PyPy
Celery
Jinja2
Read the Docs
gevent
pyenv
virtualenv
Stackless Python
Beautiful Soup
结巴中文分词
Green Unicorn
Sentry
Shovel
Pyflakes
pytest
Python 编程
pep8 Checker
Styles
PEP 8
Google Python Style Guide
Code Style from The Hitchhiker's Guide
V2EX  ›  Python

请问 jwt 并发 请求 token 时, token 覆盖,有什么好的处理方法吗?

  •  1
     
  •   libaibuaidufu · 206 天前 · 2413 次点击
    这是一个创建于 206 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如:在一个页面同时异步请求两个接口,这时 accesstoken 过期了,然后第一个请求去请求 refreshtoken ,后端覆盖了 accesstoken,第二个请求就出现 token 无效,要求重新登录。。。。

    17 回复  |  直到 2019-05-28 13:43:58 +08:00
        1
    z960112559   206 天前
    当后端返回 accesstoken 过期时,中断所有请求,调用一个不能并发执行的方法刷新令牌,令牌刷新完后弄个回调函数重新去请求接口
        2
    libaibuaidufu   206 天前
    查了一下资料,方案: 给 accesstoken 一个过期时间,然后每次请求验证 是否过期,当要过期时(离过期还有十分钟之内的)就去请求新的 token,然后后端 把旧的 token 缓存着,例如缓存十分钟,十分钟之内,使用旧的 token 依然可以请求。
        3
    DavidNineRoc   206 天前
    可以参考 jwt-auth 的做法, 可以配置一个并发失效时间, 比如 2s,
    意思是即使这个 token 过期了, 那么这个 token 也能在 2s 内使用.
        4
    micean   206 天前
    如果是 oauth2,一般框架会在返回令牌的时候给个过期时间,可以根据这个做提前处理

    话说回来,刷新令牌多刷几个又能怎么样……为什么要对访问令牌做废弃检查
        5
    libaibuaidufu   206 天前
    @micean 因为存在数据库了 每次验证 都进行对比了 多刷的令牌 导致后面旧的令牌无法听过验证。。。。
        6
    libaibuaidufu   206 天前
    @DavidNineRoc 我去看看 我用的 flask-jwt-extended 看看有没有这个配置。。。
        7
    AngryPanda   206 天前
    请求 token 的操作由统一的 proxy 来负责,如果已经有请求发出去,则不再重复发送。
        8
    mooncakejs   206 天前
    jwt 还要验证失效,那还不如随机 token。
        9
    DavidNineRoc   206 天前
    @libaibuaidufu 如果没有这个配置, 可以自己设置, 也比较简单逻辑.
    建立一个中间件. 然后解析出 token 的有效信息. 得到 exp. 根据当前时间和 exp 对比, 如果过期在 2s 之内, 都允许通过.
        10
    KKKKKK   206 天前 via iPhone
    JWT 是不储存过期时间在服务端的,过期时间储存在 token 里面,不能修改,所以要提前实战只能设置 black list
        11
    micean   206 天前
    @libaibuaidufu
    我的意思是多发几个令牌对于你们业务有没有什么影响
    jwt 的令牌应该是签出去就有效,如果有废弃的需求,应该从令牌容纳的数据去设计,而不是废弃令牌本身
        12
    saberlove   206 天前
    宽限时间了解一下
        13
    whileFalse   206 天前
    jwt 的意义就是不存后端也不直接废弃。如果你们存后端还要主动废弃,也不知道是想利用 jwt 的哪种特性。
        14
    libaibuaidufu   206 天前
    @whileFalse 他们以前就这样用的 差不多 就是单一登录了。。。。。。
        15
    libaibuaidufu   206 天前
    @saberlove 了解了一下 非常好,但是我用哪个插件似乎没有这个功能 要手动实现 。。。
        16
    libaibuaidufu   206 天前
    @saberlove 找到配置了 。。。
        17
    saberlove   195 天前
    emmm
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4287 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 34ms · UTC 02:49 · PVG 10:49 · LAX 18:49 · JFK 21:49
    ♥ Do have faith in what you're doing.