实现原理:

在access_token里加入refresh_token标识,给access_token设置短时间的期限(例如一天),给refresh_token设置长时间的期限(例如七天)。当活动用户(拥有access_token)发起request时,在权限验证里,对于requeset的header包含的access_token、refresh_token分别进行验证:

1、access_token没过期,即通过权限验证;

2、access_token过期,refresh_token没过期,则返回权限验证失败,并在返回的response的header中加入标识状态的key,在request方法的catch中通过webException来获取标识的key,获取新的token(包含新的access_token和refresh_token),再次发起请求,并返回给客户端请求结果以及新的token,再在客户端更新公共静态token模型;

3、access_token过期,refresh_token过期即权限验证失败。

下面展示一下关键代码:

一、登录生成token的时候加入refresh标识

 public TOKEN GetToken(string username, string password)

        {

            TOKEN token = new TOKEN();

            U_USER model = new BLLU_USER().Token(username, password);

            if (model != null)

            {

                string pwd = new SDDMD().MD5_jie(model.USERPWD);

                string md5 = new SDDMD().MD5_jia(model.USERID +"&"+ DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss") +"&"+ pwd+"&refresh"+ DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss"));

                token.access_token = md5;

                token.token_type = "Authorization";

                token.expires_in = DateTime.Now.ToString("yyyyMMddHHmmss");

                //token.refresh_token = DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss") + "&refresh";

            }

            return token;

        }

二、在权限验证环节,对于access_token、refresh_token设置不同时间的期限。再根据判断结果返回状态。

        /// <summary>

        /// 校验token是否有效

        /// </summary>

        /// <param name="encryptTicket">用户提交的Token值</param>

        /// <returns></returns>

        private int ValidateTicket(string encryptTicket)

        {

            try

            {

                var strTicket = new DBUtility.SDDMD().MD5_jie(encryptTicket);

                string[] TicketMsg = strTicket.Split('&');

                if (TicketMsg.Length == )

                {

                    string username = TicketMsg[];//用户名

                    string passwrod = TicketMsg[];//密码

                    U_USER model = new BLL.BLLU_USER().Token(username, passwrod);//登陆验证

                    if (model != null)

                    {

                        _userModel = model;

                        //定义Access_Token有效期为1天,精确到秒

                        DateTime dt = Convert.ToDateTime(TicketMsg[1]).AddDays(1);
                        //定义Refresh_Token有效期为1天,精确到秒
                        DateTime dtNew= Convert.ToDateTime(TicketMsg[].Substring()).AddDays();//

                        if (dt > DateTime.Now)

                            return ; //1:access_token没过期

                        else

                        {

                            if (dtNew > DateTime.Now)

                                return ; //2:access_token过期,refresh_token没过期

                            else

                                return ; //3:access_token过期,refresh_token过期

                        }

                    }

                    else

                        return ;

                }

                else

                    return ;

            }

            catch { return ; }

        }

三、根据反馈的状态执行不同的方法,“2”(access_token过期,refresh_token没过期)状态下,给返回失败的response的header中加入识别的key值。

        /// <summary>

        /// 定义Access_token验证过期但Reflesh_token有效返回请求刷新token的信息

        /// </summary>

        /// <param name="actionContext"></param>

        protected void RefreshToken(HttpActionContext actionContext)

        {

            var content = "refreshtoken";

            base.HandleUnauthorizedRequest(actionContext);

            var response = actionContext.Response;

            response.StatusCode = HttpStatusCode.Forbidden;

            response.Content = new StringContent(content, Encoding.UTF8, "application/json");

            response.Headers.Add("token", "refresh");//加入识别的key值

        }

四、request方法中通过Catch捕获webException对象获取Key值,并获取新的token(包含新的access_token和refresh_token),再次发起请求,并返回给客户端请求结果以及新的token。

        /// <summary>

        /// Get head中携带token发送请求

        /// </summary>

        /// <param name="url">WebAPI访问路径</param>

        /// <param name="tokentype">token验证方式 《Authorization》</param>

        /// <param name="tokenvalue">token 《"Bearer " + Token》</param>

        /// <returns></returns>

        public string GetRequest(string url, string tokentype, string tokenvalue)

        {

            try

            {

                string responseStr = string.Empty;

                WebRequest request = WebRequest.Create(http + url);

                request.Timeout = ;

                request.Method = "Get";

                request.Headers.Add(tokentype, tokenvalue);

                var response = request.GetResponse();

                Stream ReceiveStream = response.GetResponseStream();

                using (StreamReader stream = new StreamReader(ReceiveStream, Encoding.UTF8))

                {

                    responseStr = stream.ReadToEnd();

                }

                return responseStr;

            }

            catch (WebException e)

            {

                using (WebResponse response = e.Response)

                {

                    string result=response.Headers.Get("token");//获取识别的KEY

                    if (result == "refresh")//验证是否为状态“2”方法所加的key值

                    {

                        var strTicket = new SDDMD().MD5_jie(tokenvalue.Substring());

                        string[] TicketMsg = strTicket.Split('&');

                        string username = TicketMsg[];//用户名

                        string passwrod = TicketMsg[];//密码

                        string responseStr = GetRequest("CYUMS/Token/" + username + "/" + passwrod);//获取新的token

                        TOKEN tokenmodel = JsonConvert.DeserializeObject<TOKEN>(responseStr);

                        string secondResponseStr= GetRequest(url, tokenmodel.token_type, "Haval " + tokenmodel.access_token);//再次发起请求

                        return secondResponseStr + "|" + responseStr;//返回请求结果以及新的token

                    }

                    else

                        throw e;

                }

            }

        }

五、客户端识别token是否更新,如果更新,就更新公共静态token模型中的access_token的值;

            string user = new HttpHelper().GetRequest(getUserModel, tokenmodel.token_type, "Haval " + tokenmodel.access_token);

            string[] str = user.Split('|');

            if (str.Length == )//判断是否有token更新

            {

                TOKEN tokens = JsonConvert.DeserializeObject<TOKEN>(str[]);

                tokenmodel.access_token = tokens.access_token;

            }

            U_USER users = JsonConvert.DeserializeObject<U_USER>(str[]);

            //business code...

Token refresh的实现的更多相关文章

  1. token & refresh token 机制总结

    token & refresh token 机制总结 废话 我在项目上写了个配置页面,之前很简单直接登录,毕竟配置页面自己人用就没有做token机制,后来公司的安全审核不过,现在要加上toke ...

  2. Refresh Tokens: When to Use Them and How They Interact with JWTs

    In this post we will explore the concept of refresh tokens as defined by OAuth2. We will learn why t ...

  3. 翻译一篇英文文章,主要是给自己看的——在ASP.NET Core Web Api中如何刷新token

    原文地址 :https://www.blinkingcaret.com/2018/05/30/refresh-tokens-in-asp-net-core-web-api/ 先申明,本人英语太菜,每次 ...

  4. 傻傻分不清之 Cookie、Session、Token、JWT

    傻傻分不清之 Cookie.Session.Token.JWT 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打 ...

  5. 还分不清 Cookie、Session、Token、JWT?一篇文章讲清楚

    还分不清 Cookie.Session.Token.JWT?一篇文章讲清楚 转载来源 公众号:前端加加 作者:秋天不落叶 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证 ...

  6. cookie,session,token傻傻分不清

    什么是认证(Authentication) • 通俗地讲就是验证当前用户的身份,证明"你是你自己"(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时 ...

  7. Bearer Token & OAuth 2.0

    Bearer Token & OAuth 2.0 access token & refresh token http://localhost:8080/#/login HTTP Aut ...

  8. 授权认证登录之 Cookie、Session、Token、JWT 详解

    一.先了解几个基础概念 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份. 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就 ...

  9. Cookie、Session、Token、JWT

    什么是认证(Authentication)------->就是验证当前用户的身份,证明"你是你自己" 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只 ...

随机推荐

  1. 升级@Scheduled-分布式定时任务

    最近我在对项目的定时任务服务升级,希望改造成分布式,原本是利用@Scheduled注解实现,然而它并不支持分布式,如果改成quartz或者Spring Cloud Task,感觉对于自己这个简单的项目 ...

  2. C语言I—2019秋作业02

    1.[新增内容] 这个作业属于那个课程 C语言程序设计 这个作业要求在哪里 <C语言I-2019秋作业02> 我在这个课程的目标是 这个作业在那个具体方面帮助我实现目标 <实现一些基 ...

  3. UVA12983 The Battle of Chibi

    第一眼能看出来是个dp O($n^3$) 暴力应该很好想 dp[i][j] = $\sum_{k=1}^i [a[k] < a[i]] *dp[k][j-1]$ 发现dp[i][j] 为前面小于 ...

  4. js数组和表的基本操作

    数组 var v = [3, 6, "hello"]; console.log(v.length); 数组的遍历1 function ss() { for (var i = 0; ...

  5. yii2 rules 规则

    required : 必须值验证属性 [['字段名'],required,'requiredValue'=>'必填值','message'=>'提示信息']; #说明:CRequiredV ...

  6. Java 从入门到进阶之路(八)

    在之前的文章我们介绍了一下 Java 中的重载,接下来我们看一下 Java 中的构造方法. 我们之前说过,我们在定义一个变量的时候,java 会为我们提供一个默认的值,字符串为 null,数字为 0. ...

  7. 多线程下的wait为什么可以不需要notify

    多线程下的wait方法就像我无处安放的青春,胡乱来,感觉没有一点套路.wait后不需要notify仍可以继续执行.所以我决定看看到底咋回事..... 先结合join方法了解一下. join方法是可以等 ...

  8. java IO、NIO、AIO详解

    概述 在我们学习Java的IO流之前,我们都要了解几个关键词 同步与异步(synchronous/asynchronous):同步是一种可靠的有序运行机制,当我们进行同步操作时,后续的任务是等待当前调 ...

  9. Jenkins设置BUILD NUMBER初始值

    由于服务器迁移,需要将之前的Jenkins构建项目一并迁移,为了区分构建编号,需要将所有项目的BUILDE NUMBER 初始值定义. 网上有一些资料是更新单个项目的,我们这项目几百个,所以只好自己研 ...

  10. go语言正则表达式

    我们前两节课爬取珍爱网的时候,用到了很多正则表达式去匹配城市列表.城市.用户信息,其实除了正则表达式去匹配,还可以利用goquery和xpath第三方库匹配有用信息.而我利用了更优雅的正则表达式匹配. ...