极客观点
项目管理
HarmonyOS
redis实现手机号短信登录,优化成JWT 登录认证(用户登录时生成jwttoken) + Redis 自动续期,还能怎么优化呢?
进一步优化:使用双token嘛?再加上rabbitmq?
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
java连redis-sentinel连不上,接下来如何排查?
java连redis-sentinel连不上Java连接redis-sentinel连不上redis-sentinel是在k3s上部署的,使用helm部署的用命令行查看一切正常但是使用java连接报错,详细信息如下环境准备因为java的pod里面是没有redis的,所以下载一个redis-cli,然后拷贝的pod里面,再用命令行连接 {代码...} 安装redis到pod中 {代码...} 直接连接主节点...2 回答3.1k 阅读
Spring 2 到 Spring 3 迁移后 Redis 报错 NOAUTH 错误的原因及解决?
Spring2 转到 Spring3 后整合 Redis 报错 NOAUTH Authentication required我在spring boot 2.7.3中使用SpringDataRedis正常运行。但在spring boot 3.4.0中使用就会报错NOAUTH Authentication required.Redis版本: 3.2.100-windows版依赖: {代码...} 配置类: {代码...} spring boot 3.4.0 的 application (相较于2.7.3增...1 回答1.9k 阅读✓ 已解决
docker 运行redis容器遇到不断重启的问题如何解决?
我运行容器命令: {代码...} 启动后通过docker ps 查看, 发现容器redis1一直在重启于是我先使用: {代码...} 然后 {代码...} 就可以,求解2 回答1.2k 阅读
提示:ClientClosedError: The client is closed ,检查了服务器和代码正常;求解决 ?
已经解决: "redis": "^4.7.0", —— 4的版本和3引入 redis不一样了。将require('redis') 改成require('ioredis'),解决了。1 回答1.5k 阅读
Redis服务在虚拟机上,JetCache添加缓存失败怎么办?
JetCache添加缓存失败? {代码...} 测试方法 {代码...} 配置文件。我是用虚拟机启动的redis服务,虚拟机的ip就是配置文件里面的redis的host。 {代码...} 测试结果希望解决问题1 回答1.4k 阅读
如何在lnmp环境下安装pecl_redis扩展并解决编译错误?
cc -I. -I/tmp/redis-6.1.0 -I/tmp/redis-6.1.0/include -I/tmp/redis-6.1.0/main -I/tmp/redis-6.1.0 -I/usr/local/php-generic-8.2/include/php -I/usr/local/php-generic-8.2/include/php/main -I/usr/local/php-generic-8.2/include/php/TSRM -I/usr/local/php-generic-8.2/include/php/Zend -I/usr/local/php-gener...753 阅读
宣传栏
双Token机制是指使用 Access Token 和 Refresh Token 来增强安全性和用户体验。
实现方式:
Access Token:
用于用户身份验证和授权访问资源。
有效期较短(如15分钟)。
存储在客户端(如LocalStorage或Cookie)。
Refresh Token:
用于在Access Token过期后获取新的Access Token。
有效期较长(如7天)。
存储在服务端(Redis)并与用户ID关联。
流程:
用户登录成功后,生成Access Token和Refresh Token。
将Refresh Token存储在Redis中,并设置过期时间。
客户端每次请求携带Access Token。
当Access Token过期时,客户端使用Refresh Token请求新的Access Token。
服务端验证Refresh Token的有效性,生成新的Access Token并返回给客户端。
如果Refresh Token也过期,则用户需要重新登录。
优点:
减少频繁登录,提升用户体验。
增强安全性,避免Access Token长期暴露。
RabbitMQ可以用于异步处理与登录相关的任务,例如:
短信发送。
登录日志记录。
用户行为分析。
实现方式:
短信发送:
用户请求登录时,将短信验证码生成任务发送到RabbitMQ队列。
消费者从队列中获取任务并发送短信。
登录日志记录:
用户登录成功后,将登录信息(如用户ID、IP地址、时间)发送到RabbitMQ队列。
消费者从队列中获取日志并存储到数据库或日志系统。
用户行为分析:
将用户登录行为发送到RabbitMQ队列,供后续分析使用。
优点:
解耦核心登录逻辑和非核心任务,提升系统性能。
提高系统的可扩展性和可靠性。
(1)Token自动续期
在用户每次请求时,检查Access Token的剩余有效期。
如果剩余有效期较短(如5分钟),则自动生成新的Access Token并返回给客户端。
避免用户频繁使用Refresh Token。
(2)Token黑名单
当用户主动退出登录或Token被盗用时,将Token加入黑名单(存储在Redis中)。
每次验证Token时,检查是否在黑名单中。
(3)限流与防刷
使用Redis实现短信发送的限流(如每分钟最多发送1次)。
使用IP或设备ID限制登录尝试次数,防止暴力破解。
(4)多设备管理
在Redis中存储用户与设备的映射关系,支持多设备登录。
当用户在一个设备上退出登录时,清除该设备的Token。
(5)Token加密
对JWT Token进行加密存储,防止Token被篡改或泄露。
用户登录:
用户输入手机号和短信验证码。
服务端验证验证码,生成Access Token和Refresh Token。
将Refresh Token存储在Redis中,设置过期时间。
返回Access Token和Refresh Token给客户端。
Token自动续期:
每次请求时检查Access Token的剩余有效期。
如果剩余有效期较短,生成新的Access Token并返回。
双Token机制:
Access Token过期后,客户端使用Refresh Token请求新的Access Token。
服务端验证Refresh Token的有效性,生成新的Access Token。
RabbitMQ异步任务:
将短信发送、登录日志记录等任务发送到RabbitMQ队列。
消费者异步处理这些任务。
安全与限流:
使用Redis实现Token黑名单和限流功能。
对Token进行加密存储。