news 2026/4/18 12:37:16

双Token认证+Cookie方案详细流程

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
双Token认证+Cookie方案详细流程

概述

本文档详细分析了基于Spring Boot的双Token认证(Access Token + Refresh Token)结合Cookie的完整认证方案。该方案通过Access Token进行短期访问控制,通过Refresh Token进行长期会话维持,同时利用Cookie机制实现安全的令牌传递。

核心组件

1. Token类型说明

  • Access Token (访问令牌):短期有效(默认30分钟),用于API访问认证
  • Refresh Token (刷新令牌):长期有效(默认24小时),用于获取新的Access Token
  • Session ID (会话ID):唯一会话标识,与Refresh Token绑定,且在Access Token的JWT中绑定sessionId用于校验。sessionId不仅配合RefreshToken组合使用,也会在每次请求对AccessToken校验时进行绑定校验,确保令牌与会话的一致性。

2. 存入Cookie中的内容说明

  • Access Token Cookie (AT)

    • Name:AT
    • Path:设置为白名单路径(如/file/downFile,/file/downFiles等)
    • 用途:仅在这些特定路径下浏览器才会自动携带Cookie
    • 场景:主要用于文件下载接口,解决img标签等无法自定义Header的问题

  • Refresh Token Cookie (RT)

    • Name:RT
    • Path:设置为/auth/refreshToken
    • 用途:仅在刷新Token接口时浏览器自动携带
    • 安全:限制了Cookie的发送范围,避免在其他接口暴露

  • Session ID Cookie (SID)

    • Name:SID
    • Path:设置为/
    • 用途:所有接口都会自动携带,用于标识会话
    • 安全:配合RefreshToken一起使用,增强安全性

注意:Cookie的Path设置应基于浏览器请求的URI路径,而非Spring Boot Controller的映射路径。在通过Nginx等反向代理暴露的系统内部接口时,最终浏览器请求的path可能与Controller path不同。

3. 数据存储

  • sys_auth_refresh_token 表:存储Refresh Token的哈希值和会话信息,这里仅存储hash值可以避免RT数据泄漏带来风险。
CREATETABLE`sys_auth_refresh_token`(`id`bigintNOTNULLCOMMENT'主键',`session_id`varchar(128)NOTNULLCOMMENT'会话唯一标识',`user_id`varchar(64)CHARACTERSETutf8mb4COLLATEutf8mb4_0900_ai_ciNOTNULLCOMMENT'token所属用户Id',`token_hash`varchar(255)NOTNULLCOMMENT'Refresh Token 的 BCrypt 哈希值',`login_user_agent`varchar(500)CHARACTERSETutf8mb4COLLATEutf8mb4_0900_ai_ciDEFAULTNULLCOMMENT'登录的UserAgent信息',`login_channel`varchar(50)DEFAULTNULLCOMMENT'登录渠道:web/app/wechat等',`ip_address`varchar(45)CHARACTERSETutf8mb4COLLATEutf8mb4_0900_ai_ciDEFAULTNULLCOMMENT'登录时的客户端IP',`created_at`datetimeNOTNULLDEFAULTCURRENT_TIMESTAMPCOMMENT'创建时间',`expires_at`datetimeNOTNULLCOMMENT'过期时间,每次刷新Token时重置过期时间',`revoked`tinyint(1)DEFAULT'0'COMMENT'是否已被撤销',`last_used_at`datetimeDEFAULTNULLCOMMENT'最后使用时间',`use_count`intDEFAULT'0'COMMENT'使用次数,初始为0',`remark`varchar(128)DEFAULTNULLCOMMENT'备注',PRIMARYKEY(`id`),UNIQUEKEY`session_id`(`session_id`),KEY`idx_user_id`(`user_id`),KEY`idx_session_id`(`session_id`),KEY`idx_token_hash`(`token_hash`),KEY`idx_expires_at`(`expires_at`));

完整流程时序图

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/4/17 22:11:36

5分钟学会PowerBI主题美化:30+专业模板让报表颜值翻倍

5分钟学会PowerBI主题美化:30专业模板让报表颜值翻倍 【免费下载链接】PowerBI-ThemeTemplates Snippets for assembling Power BI Themes 项目地址: https://gitcode.com/gh_mirrors/po/PowerBI-ThemeTemplates 还在为PowerBI报表不够美观而烦恼吗&#xff…

作者头像 李华
网站建设 2026/4/18 5:43:55

3分钟搞定:Obsidian美化资源极速下载全攻略

3分钟搞定:Obsidian美化资源极速下载全攻略 【免费下载链接】awesome-obsidian 🕶️ Awesome stuff for Obsidian 项目地址: https://gitcode.com/gh_mirrors/aw/awesome-obsidian 还在为Obsidian界面单调而苦恼?想要打造个性化笔记环…

作者头像 李华
网站建设 2026/4/18 8:17:47

还在手动写Cirq代码?这5个智能补全规则让你效率翻倍

第一章:告别低效编码——Cirq智能补全的核心价值在量子计算开发中,编写精确且高效的量子电路是一项复杂任务。Cirq 作为 Google 推出的开源量子编程框架,其智能代码补全功能显著提升了开发效率。通过深度集成 Python 类型推断与上下文感知机制…

作者头像 李华
网站建设 2026/4/18 1:57:56

移动开发框架终极对决:Framework7与Ionic的2025年技术选型指南

移动开发框架终极对决:Framework7与Ionic的2025年技术选型指南 【免费下载链接】framework7 Full featured HTML framework for building iOS & Android apps 项目地址: https://gitcode.com/gh_mirrors/fra/Framework7 还在为移动应用开发的技术栈选择而…

作者头像 李华
网站建设 2026/4/18 3:25:41

腾讯云国际站代理商TEFP有什么优势呢?

你大概率是混淆了概念,TEFP 并非腾讯云国际站代理商相关计划,而是腾讯企业金融服务平台(Tencent Enterprise Fintech Platform) 的缩写。它是腾讯云推出的助力中小微企业普惠融资的产品,并非面向国际站代理商的体系。而…

作者头像 李华
网站建设 2026/4/18 3:29:11

量子模拟器与VSCode集成全攻略(仅限高级开发者掌握的黑科技)

第一章:量子模拟器扩展的 VSCode 兼容性 随着量子计算技术的发展,开发者对本地开发环境的要求日益提升。Visual Studio Code(VSCode)作为主流代码编辑器之一,凭借其强大的扩展生态,成为运行量子模拟器的理想…

作者头像 李华