实现原理:

在access_token里加入refresh_token标识,给access_token设置短时间的期限(例如一天),给refresh_token设置长时间的期限(例如七天)。当活动用户(拥有access_token)发起request时,在权限验证里,对于requeset的header包含的access_token、refresh_token分别进行验证:

1、access_token没过期,即通过权限验证;

2、access_token过期,refresh_token没过期,则返回权限验证失败,并在返回的response的header中加入标识状态的key,在request方法的catch中通过webException来获取标识的key,获取新的token(包含新的access_token和refresh_token),再次发起请求,并返回给客户端请求结果以及新的token,再在客户端更新公共静态token模型;

3、access_token过期,refresh_token过期即权限验证失败。

下面展示一下关键代码:

一、登录生成token的时候加入refresh标识

 public TOKEN GetToken(string username, string password)

        {

            TOKEN token = new TOKEN();

            U_USER model = new BLLU_USER().Token(username, password);

            if (model != null)

            {

                string pwd = new SDDMD().MD5_jie(model.USERPWD);

                string md5 = new SDDMD().MD5_jia(model.USERID +"&"+ DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss") +"&"+ pwd+"&refresh"+ DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss"));

                token.access_token = md5;

                token.token_type = "Authorization";

                token.expires_in = DateTime.Now.ToString("yyyyMMddHHmmss");

                //token.refresh_token = DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss") + "&refresh";

            }

            return token;

        }

二、在权限验证环节,对于access_token、refresh_token设置不同时间的期限。再根据判断结果返回状态。

        /// <summary>

        /// 校验token是否有效

        /// </summary>

        /// <param name="encryptTicket">用户提交的Token值</param>

        /// <returns></returns>

        private int ValidateTicket(string encryptTicket)

        {

            try

            {

                var strTicket = new DBUtility.SDDMD().MD5_jie(encryptTicket);

                string[] TicketMsg = strTicket.Split('&');

                if (TicketMsg.Length == )

                {

                    string username = TicketMsg[];//用户名

                    string passwrod = TicketMsg[];//密码

                    U_USER model = new BLL.BLLU_USER().Token(username, passwrod);//登陆验证

                    if (model != null)

                    {

                        _userModel = model;

                        //定义Access_Token有效期为1天,精确到秒

                        DateTime dt = Convert.ToDateTime(TicketMsg[1]).AddDays(1);
                        //定义Refresh_Token有效期为1天,精确到秒
                        DateTime dtNew= Convert.ToDateTime(TicketMsg[].Substring()).AddDays();//

                        if (dt > DateTime.Now)

                            return ; //1:access_token没过期

                        else

                        {

                            if (dtNew > DateTime.Now)

                                return ; //2:access_token过期,refresh_token没过期

                            else

                                return ; //3:access_token过期,refresh_token过期

                        }

                    }

                    else

                        return ;

                }

                else

                    return ;

            }

            catch { return ; }

        }

三、根据反馈的状态执行不同的方法,“2”(access_token过期,refresh_token没过期)状态下,给返回失败的response的header中加入识别的key值。

        /// <summary>

        /// 定义Access_token验证过期但Reflesh_token有效返回请求刷新token的信息

        /// </summary>

        /// <param name="actionContext"></param>

        protected void RefreshToken(HttpActionContext actionContext)

        {

            var content = "refreshtoken";

            base.HandleUnauthorizedRequest(actionContext);

            var response = actionContext.Response;

            response.StatusCode = HttpStatusCode.Forbidden;

            response.Content = new StringContent(content, Encoding.UTF8, "application/json");

            response.Headers.Add("token", "refresh");//加入识别的key值

        }

四、request方法中通过Catch捕获webException对象获取Key值,并获取新的token(包含新的access_token和refresh_token),再次发起请求,并返回给客户端请求结果以及新的token。

        /// <summary>

        /// Get head中携带token发送请求

        /// </summary>

        /// <param name="url">WebAPI访问路径</param>

        /// <param name="tokentype">token验证方式 《Authorization》</param>

        /// <param name="tokenvalue">token 《"Bearer " + Token》</param>

        /// <returns></returns>

        public string GetRequest(string url, string tokentype, string tokenvalue)

        {

            try

            {

                string responseStr = string.Empty;

                WebRequest request = WebRequest.Create(http + url);

                request.Timeout = ;

                request.Method = "Get";

                request.Headers.Add(tokentype, tokenvalue);

                var response = request.GetResponse();

                Stream ReceiveStream = response.GetResponseStream();

                using (StreamReader stream = new StreamReader(ReceiveStream, Encoding.UTF8))

                {

                    responseStr = stream.ReadToEnd();

                }

                return responseStr;

            }

            catch (WebException e)

            {

                using (WebResponse response = e.Response)

                {

                    string result=response.Headers.Get("token");//获取识别的KEY

                    if (result == "refresh")//验证是否为状态“2”方法所加的key值

                    {

                        var strTicket = new SDDMD().MD5_jie(tokenvalue.Substring());

                        string[] TicketMsg = strTicket.Split('&');

                        string username = TicketMsg[];//用户名

                        string passwrod = TicketMsg[];//密码

                        string responseStr = GetRequest("CYUMS/Token/" + username + "/" + passwrod);//获取新的token

                        TOKEN tokenmodel = JsonConvert.DeserializeObject<TOKEN>(responseStr);

                        string secondResponseStr= GetRequest(url, tokenmodel.token_type, "Haval " + tokenmodel.access_token);//再次发起请求

                        return secondResponseStr + "|" + responseStr;//返回请求结果以及新的token

                    }

                    else

                        throw e;

                }

            }

        }

五、客户端识别token是否更新,如果更新,就更新公共静态token模型中的access_token的值;

            string user = new HttpHelper().GetRequest(getUserModel, tokenmodel.token_type, "Haval " + tokenmodel.access_token);

            string[] str = user.Split('|');

            if (str.Length == )//判断是否有token更新

            {

                TOKEN tokens = JsonConvert.DeserializeObject<TOKEN>(str[]);

                tokenmodel.access_token = tokens.access_token;

            }

            U_USER users = JsonConvert.DeserializeObject<U_USER>(str[]);

            //business code...

Token refresh的实现的更多相关文章

  1. token & refresh token 机制总结

    token & refresh token 机制总结 废话 我在项目上写了个配置页面,之前很简单直接登录,毕竟配置页面自己人用就没有做token机制,后来公司的安全审核不过,现在要加上toke ...

  2. Refresh Tokens: When to Use Them and How They Interact with JWTs

    In this post we will explore the concept of refresh tokens as defined by OAuth2. We will learn why t ...

  3. 翻译一篇英文文章,主要是给自己看的——在ASP.NET Core Web Api中如何刷新token

    原文地址 :https://www.blinkingcaret.com/2018/05/30/refresh-tokens-in-asp-net-core-web-api/ 先申明,本人英语太菜,每次 ...

  4. 傻傻分不清之 Cookie、Session、Token、JWT

    傻傻分不清之 Cookie.Session.Token.JWT 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打 ...

  5. 还分不清 Cookie、Session、Token、JWT?一篇文章讲清楚

    还分不清 Cookie.Session.Token.JWT?一篇文章讲清楚 转载来源 公众号:前端加加 作者:秋天不落叶 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证 ...

  6. cookie,session,token傻傻分不清

    什么是认证(Authentication) • 通俗地讲就是验证当前用户的身份,证明"你是你自己"(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时 ...

  7. Bearer Token & OAuth 2.0

    Bearer Token & OAuth 2.0 access token & refresh token http://localhost:8080/#/login HTTP Aut ...

  8. 授权认证登录之 Cookie、Session、Token、JWT 详解

    一.先了解几个基础概念 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份. 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就 ...

  9. Cookie、Session、Token、JWT

    什么是认证(Authentication)------->就是验证当前用户的身份,证明"你是你自己" 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只 ...

随机推荐

  1. 使用ImageIO.write上传二维码文件时候,提示系统找不到指定路径

    报错如图所示: java.io.FileNotFoundException: E:\SF\.metadata\.plugins\org.eclipse.wst.server.core\tmp1\wtp ...

  2. Python简单的登录注册代码

    #-*- coding: utf-8 -*- import hashlib # 定义数据库(声明字典) #注册登录的简单hash处理 db={} def get_md5(password): md5= ...

  3. 基 B/S 平台的机房监控云平台-U位篇

    前言 机柜 U 位管理是一项突破性创新技术--继承了 RFID 标签(电子标签)的优点的同时,完全解决了 RFID 技术(非接触式的自动识别技术)在机房 U 位资产监控场应用景中的四大缺陷,采用工业互 ...

  4. web前端之浏览器: 知识汇总

    一.URL到页面 准备阶段: 输入URL,Enter进入查找 浏览器在本地查找host文件,匹配对应的IP: 找到返回浏览器并缓存 没有,则进入路由查找: 找到返回浏览器并缓存 再没有,再进入公网DN ...

  5. 【网络安全】CSRF攻击详解

    目录 什么是CSRF攻击 CSRF攻击的流程 常见的CSRF攻击类型 CSRF漏洞测试 预防CSRF攻击 参考 什么是CSRF攻击 CSRF(Cross-Site Request Forgery)的全 ...

  6. SQL SERVER数据库,按年、月、日、时、分、秒计算两个时间字段之间的间隔时间样例

    使用DATEDIFF(取值,时间字段1,时间字段2) 举例: SELECT DATEDIFF(YEAR,DRYSJ,DCYSJ),* FROM YXHIS2019..TBZYBR2019 --SQL ...

  7. numpy.rollaxis函数

    numpy.rollaxis numpy.rollaxis 函数向后滚动特定的轴到一个特定位置,格式如下: numpy.rollaxis(arr, axis, start) 参数说明: arr:数组 ...

  8. lua行为树设计与实现

    项目需要,之前行为树用的是behaviorDesigner,要改成纯lua的 我先做了一版用递归实现,代码可读性高但是中断机制实现起来比较复杂,而且创建自定义action重写方法时需要调用父类的方法, ...

  9. 正确理解IM长连接的心跳及重连机制,并动手实现(有完整IM源码)

    1.引言 说道“心跳”这个词大家都不陌生,当然不是指男女之间的心跳,而是和长连接相关的.顾名思义就是证明是否还活着的依据. 什么场景下需要心跳呢?目前我们接触到的大多是一些基于长连接的应用需要心跳来“ ...

  10. AppBoxFuture: 服务模型的在线调试

      框架内的服务模型(ServiceModel)用于处理各类业务逻辑(如最简单的CRUD操作),在设计时以类似于伪代码的形式存在,发布时后端会通过Roslyn转换并编译为运行时代码.为了方便开发者更简 ...