在web开发中，之前都使用cookie + session方式来实现身份认证鉴权。但是现在前后端分离，以及终端有可能不支持cookie的情况下，一般都采用token方式。现在系统设计思路如下：

服务端会生成两个token，一个是认证请求token（accesstoken），一个是刷新token（refreshtoken）。 accesstoken设置过期时间为两个小时，refreshtoken设置过期时间为30天。accesstoken两个小时到期后，客户端会使用refreshtoken来刷新accesstoken。refreshtoken过期后，会重新登录。

具体步骤如下：

客户端输入账号登录成功后或者微信扫描成功，服务端会自动生成accesstoken和refreshtoken返给客户端。accesstoken是根据jwt规则生成。refreshtoken生成规规格就是：时间戳+随机数。然后把refreshtoken作为redis的key存入redis中，aceesstoken作为value。

客户端拿到两个token后保存起来，每次请求带上accesstoken。当服务端返回accesstoken错误时，会自动跳转到登录页面。当服务端返回accesstoken过期时，使用refreshtoken去刷新accesstoken。然后在继续拿新accesstoken请求。

现在有两个问题：

一是，我这么设计思路是否合理，在能有效防范XSS攻击情况下，是否能有效防范csrf等安全攻击？还有没有更好的方式？

二是，如果是账号登录，在请求体里返回两个token，以及微信扫描登录重定向页面时，在URL上拼接上两个token。这么做，是否安全？

关于防范csrf攻击基于token鉴权的更多相关文章

1. # RESTful登录(基于token鉴权)的设计实例

   使用场景 现在很多基于restful的api接口都有个登录的设计,也就是在发起正式的请求之前先通过一个登录的请求接口,申请一个叫做token的东西.申请成功后,后面其他的支付请求都要带上这个token ...

2. 如何在SpringBoot中集成JWT(JSON Web Token)鉴权

   这篇博客主要是简单介绍了一下什么是JWT,以及如何在Spring Boot项目中使用JWT(JSON Web Token). 1.关于JWT 1.1 什么是JWT 老生常谈的开头,我们要用这样一种工具 ...

3. 全栈项目|小书架|微信小程序-登录及token鉴权

   小程序登录 之前也写过微信小程序登录的相关文章: 微信小程序~新版授权用户登录例子 微信小程序-携带Token无感知登录的网络请求方案 微信小程序开通云开发并利用云函数获取Openid 也可以通过官方 ...

4. Postman 关联接口测试（带有token鉴权）

   Postman 关联接口测试(带有token鉴权) 一.登陆接口 创建一个request请求 在Tests中添加JavaScript代码,用来获取鉴权 pm.test("V2", ...

5. RESTful登录设计（基于Spring及Redis的Token鉴权）

   转载自:http://www.scienjus.com/restful-token-authorization/ http://m.blog.csdn.net/article/details?id=4 ...

6. 如何防范CSRF攻击

   上一篇文章了解了一下CSRF和XSS的区别,那么这次我们来看看怎么防范CSRF吧 首先,从上篇文章我们可以看得出,CSRF攻击是有着限制的,而我们可以使用这个限制来对他做相关的防范 方法1:后端在接收 ...

7. Python接口自动化基础---token鉴权

   有些登录使用cookie,有些登录需要token验证,token传参一般有两种形式,一种是在请求头中,一种是使用URL传参 这里举例说明一下请求头中的token方式: #登录 param1={'use ...

8. token鉴权的一种实现方式图解

9. Session, Token, OAuth 鉴权那些事儿

   鉴权那些事 整体思路 无论什么样的服务, Web 服务总是不能绕开鉴权这个话题的, 通过有效的鉴权手段来保护网站数据, 来为特定用户提供服务. 整体来说, 有三种方式: Session-Cookie ...

随机推荐

1. Javascript中JSON对象的操作以及遍历key/value

   //遍历获取值: function text(){ var json = {"options":"[{/"text/":/"王家湾/&quo ...

2. MySQL知识树-支持的数据类型

   本篇学习笔记的主要内容: 介绍MySQL支持的各种数据类型(常用),并讲解其主要特点.   MySQL支持多种数据类型,主要包括数值类型.日期和时间类型.字符串类型. 数值类型 MySQL的数值类型包 ...

3. css让浮动元素水平居中

   对于定宽的非浮动元素我们可以用 margin:0 auto; 进行水平居中. 对于不定宽的浮动元素我们也有一个常用的技巧解决它的水平居中问题.如下: HTML 代码: <div class=&q ...

4. Unable to resolve target &&num;39&semi;android-19&&num;39&semi;

   修改两个地方,解决上面的问题

5. 理论与实践中的 C&num; 内存模型，第 2 部分

   转载自:https://msdn.microsoft.com/zh-cn/magazine/jj883956.aspx 这是介绍 C# 内存模型的系列文章的第二篇(共两篇). 正如在 MSDN 杂志十 ...

6. hdu2196 树的直径 &plus; bfs

   //Accepted 740 KB 15 ms //树的直径 //距离一个顶点最远的点一定是树的直径的一个端点 #include <cstdio> #include <cstring ...

7. 设计模式之（二）Adapter模式

   今天学习Adapter模式,An adapter helps two incompatible interfaces to work together. This is the real world ...

8. SecureCRT设置linux终端显示颜色

   在linux系统上,我们使用终端时,对于文件或目录会显示不同的颜色.而SecureCRT默认显示的颜色是单一的,我们该如何让其像linux一样显示个性化颜色呢. 使用SecureCRT登录 linux ...

9. Java的内存 -JVM 内存管理

   一.综述 如果你学过C或者C++,那么你应该感受过它们对内存那种强大的掌控力.但是强大的能力往往需要更强大的控制力才能保证能力不被滥用,如果滥用C/C++的内存管理那么很容易出现指针满天飞的情况,不出 ...

10. Day25-JSONP跨域请求

    1.  json 是一种数据格式, jsonp 是一种数据调用的方式.你可以简单的理解为 带callback的json就是jsonp. 2. Python里面有个模块requests, request ...