redis缓存token设置jwt令牌过期时间

最新推荐文章于 2024-06-16 11:57:38 发布
最新推荐文章于 2024-06-16 11:57:38 发布
阅读量821 收藏 10
点赞数 23
分类专栏: 登录demo 文章标签: 缓存 redis 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75352238/article/details/139336322
版权

登录接口

在上文中 我们已经设置了自定义登录接口自定义拦截器jwt登录校验接口模拟账号登录_jwt自定义拦截器-CSDN博客icon-default.png?t=N7T8https://blog.csdn.net/2202_75352238/article/details/138424691?spm=1001.2014.3001.5501

但是上文jwt过期时间是由yml文件中配置的,比较不优雅,我们今天来用redis缓存token 的方法来进行 jwt的过期设置。

修改部分

我们把jwt过期时间来注释掉,实体类中的也注释掉

然后把创建jwt令牌的 创建方法参数也修改一下

 如果这样设置不加修改的话,等于说我们登陆一次令牌就永不过期,下面 我们来思考 怎么把令牌加入redis 来进行缓存

思路分析

我们可以看我们的logincontroller方法,我们的方法中 是  如果是请求的登录接口 ,我们就对登录的用户名密码与数据库对应,如果登录用户密码正确,那么就生成一个token,然后后续的其他接口来进行访问的时候都会携带这个token ,如果用户名密码 不与数据库中的一致,那么就抛出异常

在此之中的逻辑,我们在什么时机加入redis缓存并且设置过期时间呢?

我们可以这样想,我们登录用户名密码正确的时候生成了token并且返回前端,之后请求都会携带token,那我们 可以在 生成token的时候,把token 加入redis缓存中并且设置一个过期时间,然后在拦截器 的实现那里,每次非登录请求的时候我们都访问redis 中的token数据,如果token数据过期,那么就抛异常,如果不过期就继续访问接口放行

具体实现

controller代码

@RestController
@Slf4j
@RequiredArgsConstructor
public class LoginController {
    private  final UserLoginService userLoginService;
    private final JwtProperties jwtProperties;
    private  final RedisTemplate redisTemplate;
    @PostMapping("/userLogin")
    public Result userLogin( String username,  String password) {
          password=DigestUtils.md5DigestAsHex(password.getBytes());
        LambdaQueryWrapper<UserLogin> userLoginLambdaQueryWrapper = new LambdaQueryWrapper<UserLogin>()
                .eq(UserLogin::getUsername, username);
        UserLogin userLogin = userLoginService.getOne(userLoginLambdaQueryWrapper);
        if(userLogin==null && userLogin.getUsername().isEmpty()){
            return Result.error("查询不到用户");
        }
        if (username.equals(userLogin.getUsername()) && password.equals(userLogin.getPassword())) {
         //需要一个map集合  传什么 解析出来什么   一般传的是登录用户的id  我们传1
            HashMap<String, Object> map = new HashMap<>();
            map.put(MessageConstant.LOGIN_ID, userLogin.getId());
            String token = JwtUntils.CreateJwt(map, jwtProperties.getSecretkey());
            //设置redis缓存为1000天
            redisTemplate.opsForValue().set(MessageConstant.TOKEN,token,1000,TimeUnit.DAYS);
            return Result.success(token);
        }
        return Result.error("未知错误");
    }

}

interceptor方法

@Component
@RequiredArgsConstructor
@Slf4j
public class JwtInterceptor implements HandlerInterceptor {
    private  final JwtProperties jwtProperties;
    private  final RedisTemplate redisTemplate;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//主要解析到请求头之后的token 之后  进行一次 的登录请求校验  如果不是登录请求 而是其他的方法  我们就进行放行
        String requestURI = request.getRequestURI();
        if (requestURI.contains("/userLogin")) {
            return  true;
        }
        //获取请求头的 token
//        String token = request.getHeader(jwtProperties.getTokenname());
        String redisToken = (String)redisTemplate.opsForValue().get(MessageConstant.TOKEN);
        log.info("token:{}",redisToken);
        if (redisToken != null ) {
            //进行jwt的解析
            try {
                Claims claims = JwtUntils.parseJwt(redisToken, jwtProperties.getSecretkey());
                //每次 访问其他资源的时候 都把token更新
                redisTemplate.expire(MessageConstant.TOKEN, 1000, TimeUnit.DAYS);
                String loginId = claims.get(MessageConstant.LOGIN_ID).toString();
                ThreadContext.setCurrentId(Long.valueOf(loginId));
                log.info("当前用户的id:{}", ThreadContext.getCurrentId());
                return true;
            } catch (Exception e) {
                response.setStatus(401);
                log.info("{}",e.getMessage());
                return false;
            }
        }
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
       return  false;

    }
}

下面我们进行接口测试

接口测试

我们先看我们redis中现在是没有存token的

我们进行登录

然后再去看我们redis中的token数据

过期时间是八千多万秒,然后我们随便进行一个查询员工的请求

 再看redis中token的缓存时间

又变回来了

三氧化真
关注
  • 23
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springboot+redis+token保持登录
08-03
通过redis 设置session过期时间,实现token 登录机制
java操作Redis缓存设置过期时间的方法
08-19
Java 操作 Redis 缓存设置过期时间的方法 Java 操作 Redis 缓存设置过期时间是指在 Java 应用程序中使用 Redis 缓存设置缓存项的过期时间,以便自动删除缓存项。下面将详细介绍 Java 操作 Redis 缓存设置过期...
Redis实现JWT(JSON Web TOKEN)自动延长TOKEN过期时间
m0_58032776的博客
02-28 1166
JWT是JSON WEB TOKEN的简写,常用于生成及校验Token。常见的使用场景为:用户携带name和秘钥访问后端服务器,应用后端在校验通过后使用JWT生成并返回一串Token,后续用户只需要携带此Token就可以访问服务器,在此不多赘述。本文目的是基于redis实现token自动更新其过期时间,在校验用户姓名和密码后使用JWT工具类生成会过期Token,当用户携带此Token访问服务器后会自动延长其过期时间
Redis缓存用户Token的推荐方法
jakelihua
04-25 586
字符串数据结构在Redis中用于存储简单的键值对,是最基本的数据类型。由于Token本质上是键(用户ID或会话ID)和值(Token字符串)的映射,字符串类型非常适合这一用途。使用string类型与使用Hash类型的对比表格。
redis 缓存jwt令牌设置更新时间 BUG修复
最新发布
2202_75352238的博客
06-16 615
就是 我 redis中存储的键 名 为token 值 是jwt令牌 ,但是如果 用户a 登录 之后 创建一个 键 为token的 键值对,如果用户b登录,创建的的键名也是 token ,这样用户b的 jwt 会覆盖 用户a的,就会导致 用户a 的token 会失效呀,这真是一个大大的bug , 按照我目前的水平,我想到了一下 的解决方案 ,既然 token 的键会覆盖,那么我们给 token的键 加上一个唯一标识不就好了。我们apifox进行登录接口的依次登录 ,然后观察 redis中的缓存数据。
Redis如何做token缓存
不愧是暮言的博客
05-09 2575
除了缓存token,我们还可以使用Redis做更多的事情,比如计数器、排行榜等。由于Redis是一个内存数据库,它的读取速度非常快,因此可以用于缓存高频读取的数据。而且,Redis是一个开源的数据库,它可以轻松地分布式部署,支持数据备份和恢复,还可以提供多种数据结构以适应不同的业务需求。此外,我们还可以使用Redis实现缓存穿透、缓存雪崩、缓存击穿等问题的解决方案。在实际开发中,我们要考虑到缓存的安全性、一致性等问题,以保证应用的性能和可靠性。最后,附上本文的完整代码,供读者参考。
SpringBoot结合RedisToken存入缓存中进行登录
m0_74436268的博客
06-14 2418
将登录的Token存储在Redis中可以带来以下好处:提高安全性:将Token存储在Redis中,比将Token保存在本地Cookie或浏览器存储中更加安全,因为攻击者无法访问您的服务器上存储的Token。此外,由于Redis支持设置过期时间,可以通过设置Token过期时间来自动删除旧Token,进一步提高安全性。分布式部署:如果您的应用程序采用分布式部署架构,则在每个节点上保存Token可能不是最佳选择,因为这会增加管理和同步Token的复杂性。
springboot整和jwt、shiro、redis实现token自动刷新
08-19
springboot整和jwt、shiro、redis实现token自动刷新
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Laravel的Auth验证Token验证使用自定义Redis的例子
10-16
今天小编就为大家分享一篇Laravel的Auth验证Token验证使用自定义Redis的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
redis缓存过期设置1
08-08
1)volatile-lru:使用LRU算法移除key,只对设置过期时间的键(2)allkeys-lru:使用LRU算法移除key(3)volatile-ra
Redis实战篇(一)验证码登录、缓存穿透、缓存击穿、缓存雪崩的讲解以及解决
weixin_53669566的博客
06-28 734
目录基于session实验短信登录 发送验证码 登录验证功能​编辑 用Redis实现共享Session问题登录拦截器的优化商品查询缓存什么是缓存添加redis缓存 缓存穿透 缓存雪崩 缓存击穿 缓存工具封装​编辑 商品查询缓存 什么是缓存 缓存雪崩
根据JWT的key和URL决定是否缓存HTTP请求
weixin_34133829的博客
05-31 140
链接 https://stackoverflow.com/que... 需求 根据JWT的key和URL决定是否缓存HTTP请求 比如JWT里 payload: { "iss": "iss", "sub": "sub", "userGroupID": "{userGroupID}" } 然后请求 https://myapi.e...
jwt+redis实现登录认证
每天学习一点点
02-17 1201
上面代码是自定义的登录拦截器,在请求到来后,控制器方法执行前,会进入到拦截器的preHandle方法中,在这个方法里面,或获取到请求头中的Authorization属性值,也就是jwt的值,然后再获取到redis中的值,redis中key和values是相同的,都是jwt字符串的内容,所以这里是用jwt的值作为key去获取value,如果value有值则说明该请求是可以放行的(已经登录过),否则拦截请求,返回响应码401。这样原来的jwt就失效了,无法使用原来的jwt进行登录认证。JwtUtil工具类。
jwtredis,把生成的token放入redis中进行临时存储
jakelihua
08-28 991
简介:本文讲解,如何结合jwtredis,我们把jwt生成的token存放在redis中。
JWT令牌刷新机制
YinRJ的博客
03-28 4448
JWT令牌刷新机制 问题来源 JWT令牌保存在客户端,会存在过期时间,那么如果令牌一直没有变化,那么过期时间也不会发生变化。假设一个JWT令牌过期时间是5天,但是用户在这5天内一直在使用本系统,那么理论上当到了第五天的时候就应该是自动对这个令牌进行续期操作,而不是让用户重新登录。 解决办法 双令牌机制 设置长短日期的两个令牌,两个令牌都传给客户端,客户端每次携带两个令牌请求 当两个令牌都没有过期的时候,服务端正常验证逻辑 如果短令牌过期,长令牌没有过期,那么服务端重新生成两个新的令牌返回给客户端,客户端
SpringBoot + Shiro + JWT集成Redis缓存(Jedis)
热门推荐
你究竟是想一辈子卖糖水,还是希望获得改变世界的机会?
10-09 2万+
序言 目录:https://blog.csdn.net/wang926454/article/details/82971291 首先感谢SmithCruise提供的思路,文章地址:https://www.jianshu.com/p/f37f8c295057 根据SmithCruise的项目进行后续更新 将其改为数据库形式(MySQL) 实现Shiro的Cache(Redis)功能 解决无法直...
不安全的jwt令牌的整改建议
06-08
JWT(JSON Web Token)是一种常用的认证方式,但如果实现不当,会存在安全隐患。以下是一些整改建议: 1. 建议使用加密算法对JWT进行签名,以确保JWT不能被篡改或伪造。强烈建议使用HS256或RS256算法,而不是较弱的加密算法。 2. 建议设置适当的过期时间和刷新令牌机制,以确保JWT的有效性。过期时间不应过长,一般不超过1小时,以便及时更新。 3. 建议使用JWT的黑名单机制,以防止已经失效的JWT被攻击者再次使用。可以将JWT的唯一标识(JTI)存储在Redis或者其他缓存中,然后在验证JWT时检查其是否在黑名单中。 4. 建议对敏感信息进行加密处理,以确保在JWT中传输的数据不会被泄露。可以使用对称加密或非对称加密等方式对敏感信息进行加密处理。 5. 建议对JWT的权限进行细粒度的控制,以确保JWT只能访问其所需的资源。可以使用RBAC或ABAC等访问控制模型来实现。 6. 建议对JWT进行安全审计,以检查是否存在安全漏洞。可以使用安全扫描工具或手动检查的方式来进行安全审计。 以上是一些整改建议,但是具体的整改措施需要根据具体情况来定制。建议参考OWASP的JWT安全指南来进行整改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

三氧化真

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值