实现原理:

在access_token里加入refresh_token标识,给access_token设置短时间的期限(例如一天),给refresh_token设置长时间的期限(例如七天)。当活动用户(拥有access_token)发起request时,在权限验证里,对于requeset的header包含的access_token、refresh_token分别进行验证:

1、access_token没过期,即通过权限验证;

2、access_token过期,refresh_token没过期,则返回权限验证失败,并在返回的response的header中加入标识状态的key,在request方法的catch中通过webException来获取标识的key,获取新的token(包含新的access_token和refresh_token),再次发起请求,并返回给客户端请求结果以及新的token,再在客户端更新公共静态token模型;

3、access_token过期,refresh_token过期即权限验证失败。

下面展示一下关键代码:

一、登录生成token的时候加入refresh标识

 public TOKEN GetToken(string username, string password)

        {

            TOKEN token = new TOKEN();

            U_USER model = new BLLU_USER().Token(username, password);

            if (model != null)

            {

                string pwd = new SDDMD().MD5_jie(model.USERPWD);

                string md5 = new SDDMD().MD5_jia(model.USERID +"&"+ DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss") +"&"+ pwd+"&refresh"+ DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss"));

                token.access_token = md5;

                token.token_type = "Authorization";

                token.expires_in = DateTime.Now.ToString("yyyyMMddHHmmss");

                //token.refresh_token = DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss") + "&refresh";

            }

            return token;

        }

二、在权限验证环节,对于access_token、refresh_token设置不同时间的期限。再根据判断结果返回状态。

        /// <summary>

        /// 校验token是否有效

        /// </summary>

        /// <param name="encryptTicket">用户提交的Token值</param>

        /// <returns></returns>

        private int ValidateTicket(string encryptTicket)

        {

            try

            {

                var strTicket = new DBUtility.SDDMD().MD5_jie(encryptTicket);

                string[] TicketMsg = strTicket.Split('&');

                if (TicketMsg.Length == )

                {

                    string username = TicketMsg[];//用户名

                    string passwrod = TicketMsg[];//密码

                    U_USER model = new BLL.BLLU_USER().Token(username, passwrod);//登陆验证

                    if (model != null)

                    {

                        _userModel = model;

                        //定义Access_Token有效期为1天,精确到秒

                        DateTime dt = Convert.ToDateTime(TicketMsg[1]).AddDays(1);
                        //定义Refresh_Token有效期为1天,精确到秒
                        DateTime dtNew= Convert.ToDateTime(TicketMsg[].Substring()).AddDays();//

                        if (dt > DateTime.Now)

                            return ; //1:access_token没过期

                        else

                        {

                            if (dtNew > DateTime.Now)

                                return ; //2:access_token过期,refresh_token没过期

                            else

                                return ; //3:access_token过期,refresh_token过期

                        }

                    }

                    else

                        return ;

                }

                else

                    return ;

            }

            catch { return ; }

        }

三、根据反馈的状态执行不同的方法,“2”(access_token过期,refresh_token没过期)状态下,给返回失败的response的header中加入识别的key值。

        /// <summary>

        /// 定义Access_token验证过期但Reflesh_token有效返回请求刷新token的信息

        /// </summary>

        /// <param name="actionContext"></param>

        protected void RefreshToken(HttpActionContext actionContext)

        {

            var content = "refreshtoken";

            base.HandleUnauthorizedRequest(actionContext);

            var response = actionContext.Response;

            response.StatusCode = HttpStatusCode.Forbidden;

            response.Content = new StringContent(content, Encoding.UTF8, "application/json");

            response.Headers.Add("token", "refresh");//加入识别的key值

        }

四、request方法中通过Catch捕获webException对象获取Key值,并获取新的token(包含新的access_token和refresh_token),再次发起请求,并返回给客户端请求结果以及新的token。

        /// <summary>

        /// Get head中携带token发送请求

        /// </summary>

        /// <param name="url">WebAPI访问路径</param>

        /// <param name="tokentype">token验证方式 《Authorization》</param>

        /// <param name="tokenvalue">token 《"Bearer " + Token》</param>

        /// <returns></returns>

        public string GetRequest(string url, string tokentype, string tokenvalue)

        {

            try

            {

                string responseStr = string.Empty;

                WebRequest request = WebRequest.Create(http + url);

                request.Timeout = ;

                request.Method = "Get";

                request.Headers.Add(tokentype, tokenvalue);

                var response = request.GetResponse();

                Stream ReceiveStream = response.GetResponseStream();

                using (StreamReader stream = new StreamReader(ReceiveStream, Encoding.UTF8))

                {

                    responseStr = stream.ReadToEnd();

                }

                return responseStr;

            }

            catch (WebException e)

            {

                using (WebResponse response = e.Response)

                {

                    string result=response.Headers.Get("token");//获取识别的KEY

                    if (result == "refresh")//验证是否为状态“2”方法所加的key值

                    {

                        var strTicket = new SDDMD().MD5_jie(tokenvalue.Substring());

                        string[] TicketMsg = strTicket.Split('&');

                        string username = TicketMsg[];//用户名

                        string passwrod = TicketMsg[];//密码

                        string responseStr = GetRequest("CYUMS/Token/" + username + "/" + passwrod);//获取新的token

                        TOKEN tokenmodel = JsonConvert.DeserializeObject<TOKEN>(responseStr);

                        string secondResponseStr= GetRequest(url, tokenmodel.token_type, "Haval " + tokenmodel.access_token);//再次发起请求

                        return secondResponseStr + "|" + responseStr;//返回请求结果以及新的token

                    }

                    else

                        throw e;

                }

            }

        }

五、客户端识别token是否更新,如果更新,就更新公共静态token模型中的access_token的值;

            string user = new HttpHelper().GetRequest(getUserModel, tokenmodel.token_type, "Haval " + tokenmodel.access_token);

            string[] str = user.Split('|');

            if (str.Length == )//判断是否有token更新

            {

                TOKEN tokens = JsonConvert.DeserializeObject<TOKEN>(str[]);

                tokenmodel.access_token = tokens.access_token;

            }

            U_USER users = JsonConvert.DeserializeObject<U_USER>(str[]);

            //business code...

Token refresh的实现的更多相关文章

  1. token & refresh token 机制总结

    token & refresh token 机制总结 废话 我在项目上写了个配置页面,之前很简单直接登录,毕竟配置页面自己人用就没有做token机制,后来公司的安全审核不过,现在要加上toke ...

  2. Refresh Tokens: When to Use Them and How They Interact with JWTs

    In this post we will explore the concept of refresh tokens as defined by OAuth2. We will learn why t ...

  3. 翻译一篇英文文章,主要是给自己看的——在ASP.NET Core Web Api中如何刷新token

    原文地址 :https://www.blinkingcaret.com/2018/05/30/refresh-tokens-in-asp-net-core-web-api/ 先申明,本人英语太菜,每次 ...

  4. 傻傻分不清之 Cookie、Session、Token、JWT

    傻傻分不清之 Cookie.Session.Token.JWT 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打 ...

  5. 还分不清 Cookie、Session、Token、JWT?一篇文章讲清楚

    还分不清 Cookie.Session.Token.JWT?一篇文章讲清楚 转载来源 公众号:前端加加 作者:秋天不落叶 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证 ...

  6. cookie,session,token傻傻分不清

    什么是认证(Authentication) • 通俗地讲就是验证当前用户的身份,证明"你是你自己"(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时 ...

  7. Bearer Token & OAuth 2.0

    Bearer Token & OAuth 2.0 access token & refresh token http://localhost:8080/#/login HTTP Aut ...

  8. 授权认证登录之 Cookie、Session、Token、JWT 详解

    一.先了解几个基础概念 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份. 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就 ...

  9. Cookie、Session、Token、JWT

    什么是认证(Authentication)------->就是验证当前用户的身份,证明"你是你自己" 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只 ...

随机推荐

  1. linux 设置查看文本行数

    在一般模式下,即摁下esc按键下的模式: 设置行数为:set nu(此处的冒号需要带上) 取消行号为:set nonu(此处的冒号需要带上)

  2. yii2 qq邮箱配置发送

    'mailer' => [ 'class' => 'yii\swiftmailer\Mailer', 'useFileTransport' =>false,//这句一定有,false ...

  3. Java面向对象程序设计第6章1-12

    1.this和super各有几种用法? this this 用法有三种,主要应用场合: 表示当前对象引用,常用于形参或局部变量与类的成员变 量同名的情形,使用this.成员名表示当前对象的成员 表示当 ...

  4. vue- Vue-Cli脚手架工具安装 -创建项目-页面开发流程-组件生命周期- -03

    目录 Vue-Cli 项目环境搭建 与 python 基础环境对比 环境搭建 创建启动 vue 项目 命令创建项目(步骤小多) 启动 vue 项目(命令行方式) 启动 vue 项目(pycharm 方 ...

  5. 项目一:ssm超市订单管理系统

    声明:项目参考于课程教材,学习使用,仅在此记录 项目介绍 ssm超市订单管理系统,功能模块有订单管理,供应商管理,用户管理,密码修改,退出系统,管理模块中包括基本的增删改查 集成工具使用idea,基于 ...

  6. [经验分享]C# 操作Windows系统计划任务

    背景:我做了一个事情是要自己提前创建好很多要定时执行的任务,在我不在的时候自动执行这些程序,以保证我的工作能无人值守,那么我就需要建立系统计划任务来帮我完成这件事情,当然用脑子想想如何实现,很简单,每 ...

  7. abp(net core)+easyui+efcore实现仓储管理系统——EasyUI之货物管理四 (二十二)

    abp(net core)+easyui+efcore实现仓储管理系统目录 abp(net core)+easyui+efcore实现仓储管理系统——ABP总体介绍(一) abp(net core)+ ...

  8. python编程基础之二十五

    匿名函数:不用def 定义的函数,没有函数名 lambda只是一个表达式,函数体比def简单的多 lambda的函数体不再是代码块 lambda只有一行,增加运行效率 lambda [参数1][参数2 ...

  9. java IO、NIO、AIO详解

    概述 在我们学习Java的IO流之前,我们都要了解几个关键词 同步与异步(synchronous/asynchronous):同步是一种可靠的有序运行机制,当我们进行同步操作时,后续的任务是等待当前调 ...

  10. RE-1 逆向分析基础

    逆向分析基础 0x01-0x0C 本笔记使用汇编指令为x86架构下汇编指令,ARM架构汇编指令不做介绍 0x01. 关于RE 逆向工程(Reverse Engineering RE) 逆向分析方法: ...