实现原理:

在access_token里加入refresh_token标识,给access_token设置短时间的期限(例如一天),给refresh_token设置长时间的期限(例如七天)。当活动用户(拥有access_token)发起request时,在权限验证里,对于requeset的header包含的access_token、refresh_token分别进行验证:

1、access_token没过期,即通过权限验证;

2、access_token过期,refresh_token没过期,则返回权限验证失败,并在返回的response的header中加入标识状态的key,在request方法的catch中通过webException来获取标识的key,获取新的token(包含新的access_token和refresh_token),再次发起请求,并返回给客户端请求结果以及新的token,再在客户端更新公共静态token模型;

3、access_token过期,refresh_token过期即权限验证失败。

下面展示一下关键代码:

一、登录生成token的时候加入refresh标识

 public TOKEN GetToken(string username, string password)

        {

            TOKEN token = new TOKEN();

            U_USER model = new BLLU_USER().Token(username, password);

            if (model != null)

            {

                string pwd = new SDDMD().MD5_jie(model.USERPWD);

                string md5 = new SDDMD().MD5_jia(model.USERID +"&"+ DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss") +"&"+ pwd+"&refresh"+ DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss"));

                token.access_token = md5;

                token.token_type = "Authorization";

                token.expires_in = DateTime.Now.ToString("yyyyMMddHHmmss");

                //token.refresh_token = DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss") + "&refresh";

            }

            return token;

        }

二、在权限验证环节,对于access_token、refresh_token设置不同时间的期限。再根据判断结果返回状态。

        /// <summary>

        /// 校验token是否有效

        /// </summary>

        /// <param name="encryptTicket">用户提交的Token值</param>

        /// <returns></returns>

        private int ValidateTicket(string encryptTicket)

        {

            try

            {

                var strTicket = new DBUtility.SDDMD().MD5_jie(encryptTicket);

                string[] TicketMsg = strTicket.Split('&');

                if (TicketMsg.Length == )

                {

                    string username = TicketMsg[];//用户名

                    string passwrod = TicketMsg[];//密码

                    U_USER model = new BLL.BLLU_USER().Token(username, passwrod);//登陆验证

                    if (model != null)

                    {

                        _userModel = model;

                        //定义Access_Token有效期为1天,精确到秒

                        DateTime dt = Convert.ToDateTime(TicketMsg[1]).AddDays(1);
                        //定义Refresh_Token有效期为1天,精确到秒
                        DateTime dtNew= Convert.ToDateTime(TicketMsg[].Substring()).AddDays();//

                        if (dt > DateTime.Now)

                            return ; //1:access_token没过期

                        else

                        {

                            if (dtNew > DateTime.Now)

                                return ; //2:access_token过期,refresh_token没过期

                            else

                                return ; //3:access_token过期,refresh_token过期

                        }

                    }

                    else

                        return ;

                }

                else

                    return ;

            }

            catch { return ; }

        }

三、根据反馈的状态执行不同的方法,“2”(access_token过期,refresh_token没过期)状态下,给返回失败的response的header中加入识别的key值。

        /// <summary>

        /// 定义Access_token验证过期但Reflesh_token有效返回请求刷新token的信息

        /// </summary>

        /// <param name="actionContext"></param>

        protected void RefreshToken(HttpActionContext actionContext)

        {

            var content = "refreshtoken";

            base.HandleUnauthorizedRequest(actionContext);

            var response = actionContext.Response;

            response.StatusCode = HttpStatusCode.Forbidden;

            response.Content = new StringContent(content, Encoding.UTF8, "application/json");

            response.Headers.Add("token", "refresh");//加入识别的key值

        }

四、request方法中通过Catch捕获webException对象获取Key值,并获取新的token(包含新的access_token和refresh_token),再次发起请求,并返回给客户端请求结果以及新的token。

        /// <summary>

        /// Get head中携带token发送请求

        /// </summary>

        /// <param name="url">WebAPI访问路径</param>

        /// <param name="tokentype">token验证方式 《Authorization》</param>

        /// <param name="tokenvalue">token 《"Bearer " + Token》</param>

        /// <returns></returns>

        public string GetRequest(string url, string tokentype, string tokenvalue)

        {

            try

            {

                string responseStr = string.Empty;

                WebRequest request = WebRequest.Create(http + url);

                request.Timeout = ;

                request.Method = "Get";

                request.Headers.Add(tokentype, tokenvalue);

                var response = request.GetResponse();

                Stream ReceiveStream = response.GetResponseStream();

                using (StreamReader stream = new StreamReader(ReceiveStream, Encoding.UTF8))

                {

                    responseStr = stream.ReadToEnd();

                }

                return responseStr;

            }

            catch (WebException e)

            {

                using (WebResponse response = e.Response)

                {

                    string result=response.Headers.Get("token");//获取识别的KEY

                    if (result == "refresh")//验证是否为状态“2”方法所加的key值

                    {

                        var strTicket = new SDDMD().MD5_jie(tokenvalue.Substring());

                        string[] TicketMsg = strTicket.Split('&');

                        string username = TicketMsg[];//用户名

                        string passwrod = TicketMsg[];//密码

                        string responseStr = GetRequest("CYUMS/Token/" + username + "/" + passwrod);//获取新的token

                        TOKEN tokenmodel = JsonConvert.DeserializeObject<TOKEN>(responseStr);

                        string secondResponseStr= GetRequest(url, tokenmodel.token_type, "Haval " + tokenmodel.access_token);//再次发起请求

                        return secondResponseStr + "|" + responseStr;//返回请求结果以及新的token

                    }

                    else

                        throw e;

                }

            }

        }

五、客户端识别token是否更新,如果更新,就更新公共静态token模型中的access_token的值;

            string user = new HttpHelper().GetRequest(getUserModel, tokenmodel.token_type, "Haval " + tokenmodel.access_token);

            string[] str = user.Split('|');

            if (str.Length == )//判断是否有token更新

            {

                TOKEN tokens = JsonConvert.DeserializeObject<TOKEN>(str[]);

                tokenmodel.access_token = tokens.access_token;

            }

            U_USER users = JsonConvert.DeserializeObject<U_USER>(str[]);

            //business code...

Token refresh的实现的更多相关文章

  1. token & refresh token 机制总结

    token & refresh token 机制总结 废话 我在项目上写了个配置页面,之前很简单直接登录,毕竟配置页面自己人用就没有做token机制,后来公司的安全审核不过,现在要加上toke ...

  2. Refresh Tokens: When to Use Them and How They Interact with JWTs

    In this post we will explore the concept of refresh tokens as defined by OAuth2. We will learn why t ...

  3. 翻译一篇英文文章,主要是给自己看的——在ASP.NET Core Web Api中如何刷新token

    原文地址 :https://www.blinkingcaret.com/2018/05/30/refresh-tokens-in-asp-net-core-web-api/ 先申明,本人英语太菜,每次 ...

  4. 傻傻分不清之 Cookie、Session、Token、JWT

    傻傻分不清之 Cookie.Session.Token.JWT 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打 ...

  5. 还分不清 Cookie、Session、Token、JWT?一篇文章讲清楚

    还分不清 Cookie.Session.Token.JWT?一篇文章讲清楚 转载来源 公众号:前端加加 作者:秋天不落叶 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证 ...

  6. cookie,session,token傻傻分不清

    什么是认证(Authentication) • 通俗地讲就是验证当前用户的身份,证明"你是你自己"(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时 ...

  7. Bearer Token & OAuth 2.0

    Bearer Token & OAuth 2.0 access token & refresh token http://localhost:8080/#/login HTTP Aut ...

  8. 授权认证登录之 Cookie、Session、Token、JWT 详解

    一.先了解几个基础概念 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份. 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就 ...

  9. Cookie、Session、Token、JWT

    什么是认证(Authentication)------->就是验证当前用户的身份,证明"你是你自己" 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只 ...

随机推荐

  1. Maven 梳理-自动创建Maven项目(非web)

    mvn archetype:create和mvn archetype:generate create is deprecated in maven 3.0.5 and beyond,在maven3.0 ...

  2. 十分钟快速学会Matplotlib基本图形操作

    在学习Python的各种工具包的时候,看网上的各种教程总是感觉各种方法很多很杂,参数的种类和个数也十分的多,理解起来需要花费不少的时间. 所以我在这里通过几个例子,对方法和每个参数都进行详细的解释,这 ...

  3. dedecms5.7最新漏洞修复

    最近发现织梦cms被挂马现象频繁,解决好好几个网站的问题,但是过不了多久,就又被攻击了,即使更改系统及ftp密码,也没有起到防御的作用,最后怀疑cms本身漏洞,于是采用工具扫描了一下,才发现问题的严重 ...

  4. Java为什么需要四种引用?

    首先抛出一个问题:在闲暇时间收拾自己家里的时候,对某一件物件要不要丢弃的问题上,是否有过食之无味,弃之可惜的感觉? 同样的,JVM在回收Java对象的时候,是否对对象实例也有食之无味,弃之可惜的感受? ...

  5. 色即是空,空即是色---java有关null的几件小事

    故事背景 ---摩诃般若波罗蜜多心经: 观自在菩萨,行深般若波罗蜜多时,照见五蕴皆空,度一切苦厄.舍利子,色不异空,空不异色:色即是空,空即是色.受想行识,亦复如是.舍利子,是诸法空相,不生不灭,不垢 ...

  6. docker镜像制作必备技能

    正文 使用过docker的都知道dockerfile,其用于定义制作镜像的流程,由一系列命令和参数构成的脚本,这些命令应用于基础镜像并最终创建一个新的镜像.可参考往期文章学习:docker基础知识整理 ...

  7. B-概率论-常见的概率分布模型

    目录 常见的概率分布模型 一.离散概率分布函数 二.连续概率分布函数 三.联合分布函数 四.多项分布(Multinomial Distribution) 4.1 多项分布简介 4.2 多项分布公式解析 ...

  8. B-概率论-极大似然估计

    [TOC] 更新.更全的<机器学习>的更新网站,更有python.go.数据结构与算法.爬虫.人工智能教学等着你:https://www.cnblogs.com/nickchen121/ ...

  9. SQL SERVER 数据库中查看文本字段中的数据长度LEN() 函数的使用方法

    SQL LEN() 语法 SELECT LEN(column_name) FROM table_name Id LastName FirstName Address City 1 Adams John ...

  10. Android仿美团地址选择

    最近做了这个功能,分享一下,用的是百度地图api,和美团外卖的地址选择界面差不多,也就是可以搜索或者滑动地图展示地址列表给用户选择,看下效果图先. 文章重点 1.展示地图并定位到“我”的位置2.滑动地 ...