使用Redis来实现JWT令牌主动失效机制

最新推荐文章于 2024-08-07 18:31:14 发布
最新推荐文章于 2024-08-07 18:31:14 发布
阅读量199 收藏 5
点赞数 3
分类专栏: JavaWeb后端开发技术栈 文章标签: redis 数据库 缓存 OSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79840586/article/details/140990594
版权

目录

一.实现思路:

二.实现代码解析:

1.首先配置Redis的相关配置文件:

(1)pom.xml:

(2)在application.yml中配置相关信息:

(3)编写配置类,创建RedisTemplate对象:我们使用RedisTemplate这个类对象内封装的方法来操作Redis,所以我们在配置类内创建RedisTemplate并用Bean注解将其交给Spring容器管理。

2.登录成功后,给浏览器响应令牌的同时,把该令牌存储到Redis中:

3.LoginInterceptor拦截器中,需要验证浏览器携带的令牌,并同时需要获取到Redis中的存储的与之相同的令牌:

4.当用户修改密码成功后,删除Redis中存储的旧令牌:

一.实现思路:

  1. 登录成功后,给浏览器响应令牌的同时,把该令牌存储到Redis中
  2. LoginInterceptor拦截器中,需要验证浏览器携带的令牌,并同时需要获取到Redis中的存储的与之相同的令牌,如果获取到证明令牌有效,如果没有获取到则令牌无效
  3. 当用户修改密码成功后,删除Redis中存储的旧令牌

二.实现代码解析:

1.首先配置Redis的相关配置文件:

(1)pom.xml:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

(2)在application.yml中配置相关信息:

spring:
  data:
    redis:
      host: localhost
      port: 6379
      password: *******  #Redis的密码
      database: ***      #指定使用哪个数据源(可不写,但默认是DB0)

(3)编写配置类,创建RedisTemplate对象:
我们使用RedisTemplate这个类对象内封装的方法来操作Redis,所以我们在配置类内创建RedisTemplate并用Bean注解将其交给Spring容器管理。

@Configuration
@Slf4j
public class RedisConfiguration {
    @Bean
    public RedisTemplate redisTemplate(RedisConnectionFactory redisConnectionFactory){
        log.info("开始创建Redis模板对象...0");
        RedisTemplate redisTemplate = new RedisTemplate();
        //设置redis的连接工厂对象
        redisTemplate.setConnectionFactory(redisConnectionFactory);
        //设置redis key的序列化器,这里反应的是Redis图形化工具上value值的不同
        redisTemplate.setKeySerializer(new StringRedisSerializer());
        return redisTemplate;
    }
}

2.登录成功后,给浏览器响应令牌的同时,把该令牌存储到Redis中:

@RestController
@RequestMapping("/user")
@Validated
public class UserController {

    @Autowired
    private UserService userService;
    @Autowired
    private RedisTemplate redisTemplate;

    /**
     * 用户登录
     * @param username
     * @param password
     * @return
     */
    @PostMapping("/login")
    public Result<String> login(@Pattern(regexp = "^\\S{5,16}$") String username ,@Pattern(regexp = "^\\S{5,16}$") String password){
        //根据username查询用户
        User loginUser = userService.findByUserName(username);
        //判断是否存在
        if(loginUser == null){
            return Result.error("用户名错误");
        }
        //判断密码是否正确
        if(Md5Util.getMD5String(password).equals(loginUser.getPassword())){
            //登录成功,创建JWT令牌
            Map<String,Object> claims = new HashMap<>();
            claims.put("id",loginUser.getId());
            claims.put("username",loginUser.getUsername());
            String token = JwtUtil.genToken(claims);
            //将token存储到redis中
            redisTemplate.opsForValue().set(token,token,1, TimeUnit.HOURS);//key,value,时间值,时间单位
            return Result.success(token);
        }
        return Result.error("密码错误");
    }
}

3.LoginInterceptor拦截器中,需要验证浏览器携带的令牌,并同时需要获取到Redis中的存储的与之相同的令牌:

package com.itheima.bigdealboot.interceptors;


import com.itheima.bigdealboot.utils.JwtUtil;
import com.itheima.bigdealboot.utils.ThreadLocalUtil;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import java.util.Map;
//拦截器
@Component
public class LoginInterceptor implements HandlerInterceptor {

    @Autowired
    private RedisTemplate redisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request , HttpServletResponse response , Object handle) throws Exception{
        String token = request.getHeader("Authorization"); //Authorization为请求头的名字
        try {
            //从Redis中国获取相同的token
            String redisToken = (String) redisTemplate.opsForValue().get(token);
            if(redisToken == null){
                //token已经失效,抛出异常
                throw new RuntimeException();
            }
            //令牌验证
            Map<String,Object> claims = JwtUtil.parseToken(token);
            //线程开辟空间存储
            ThreadLocalUtil.set(claims);
            //放行
            return true;
        }catch (Exception e){
            //http响应状态码为401在·
            response.setStatus(401);
            //不放行
            return false;
        }
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        //清空线程数据
        ThreadLocalUtil.remove();
    }
}

4.当用户修改密码成功后,删除Redis中存储的旧令牌:

@RestController
@RequestMapping("/user")
@Validated
public class UserController {

    @Autowired
    private UserService userService;
    @Autowired
    private RedisTemplate redisTemplate;

    @PatchMapping("/updatePwd")
    public Result updatePwd(@RequestBody Map<String,String> params,@RequestHeader("Authorization") String token){
        //校验参数
        String oldPwd = params.get("old_pwd");
        String newPwd = params.get("new_pwd");
        String rePwd = params.get("re_pwd");
        if(StringUtils.hasLength(oldPwd) || StringUtils.hasLength(newPwd) || StringUtils.hasLength(rePwd)){
            return Result.error("缺少必要参数");
        }
        //校验
        Map<String,Object> map = ThreadLocalUtil.get();
        String username = (String) map.get("username");
        User loginUser = userService.findByUserName(username);
        if(!loginUser.getPassword().equals(Md5Util.getMD5String(oldPwd))){
            return Result.error("原密码填写不正确");
        }
        if(!rePwd.equals(newPwd)){
            return Result.error("两次填写的新密码不一样");
        }
        //更新密码
        userService.updatePwd(newPwd);
        //删除redis中对应的token
        redisTemplate.opsForValue().getOperations().delete(token);
        return Result.success();
    }
}

记得开心一点嘛
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于springboot+security+jwt+redis实现微信小程序登录及token权限鉴定-源码
10-02
同时,Redis也可以设置过期时间,实现JWT的自动失效。 5. **微信小程序登录**: 微信小程序是腾讯推出的一种可以在微信内运行的应用。用户可以通过微信账号登录小程序,开发者需要与微信服务器进行交互获取用户的...
springboot+jwt+spring-security.rar
05-20
在本项目中,我们主要探讨的是如何在Spring Boot框架下集成JWT(JSON Web Tokens)以及Spring Security,同时利用Redis作为存储来实现API的鉴权功能。这是一个完整的安全认证解决方案,适用于构建RESTful API服务。 ...
基于Spring Security + MQ + Redis +文心大模型的智能阅卷系统源代码+数据库
05-31
本项目是基于 Spring Security + MQ + Redis 结合深度... 使用 JWT 技术签发用户登录的 token 令牌,基于 Redis 实现 token 的刷新和失效机制,并通过Spring Security 过滤链过滤非法请求,设计拦截器进行权限校验和异
JWT身份认证优缺点分析以及常见问题解决方案.docx
10-26
- **内存数据库存储**: 将 JWT 保存在内存数据库(如 Redis)中,当需要使 JWT 失效时,可以从数据库中删除。然而,这违反了 JWT 无状态的原则,并增加了额外的查询开销。 - **黑名单机制**: 维护一个 JWT 黑名单...
解决重复登陆问题
08-05
5. **令牌验证**:采用JWT(JSON Web Tokens)或OAuth等令牌验证机制,每个令牌代表一次有效的登录,当用户在另一处登录时,旧的令牌失效,确保只有一个活跃的登录。 6. **实时监控**:通过日志分析和实时监控...
Redis进阶】Redis单线程模型和多线程模型
2401_83045332的博客
08-07 554
文件事件处理器是单线程模式运行的,但是通过IO多路复用机制监听多个socket,并根据socket目前执行的任务来为套接字关联不同的事件处理器。可以实现高性能的网络通信模型。又可以跟内部其他单线程的模块进行对接,保证了Redis内部的线程模型的简单性。
DockerCompose中使用自定义网络的方式实现部署SpringBoot+Mysql+Redis
BADAO_LIUMANG_QIZHI的博客
08-07 654
上面介绍了Docker中自定义网络的相关知识。如果项目使用Docker Compose编排,比如最近的例子,搭建Springboot项目并使其连接Mysql和redis,则如何通过自定义网络的方式实现
Redisson 实现分布式锁
Hello World
08-06 423
对于大多数的场景而言,使用 Redisson 的普通锁就可以了,如果项目对分布式锁的安全性要求很高,推荐使用基于 Raft 或 Paxos 算法的 etcd 或 ZooKeeper,他们在设计时充分考虑了分布式环境下的一致性和可靠性问题,提供了比 RedLock 更为健壮的解决方案。我们可以将一个长时间执行的任务拆分为多个独立的较短的小任务,每个步骤都有自己独立的分布式锁,这样就可以减少锁定资源的时间,同时确保每个阶段都能在适当的时间内完成。公平锁与 JUC 中的公平锁一致,遵循先到先得的原则。
Redisson中RTopic的使用场景及例子
qq_40592590的博客
08-03 489
redisson
PHP + Laravel + RabbitMQ + Redis 实现消息队列 (二) 消费队列在RabbitMQ和redis中的简单使用
最新发布
weixin_43193813的博客
08-07 551
这里我们的测试环境使用的是larveal;其中P端代码我放到了,作为一个基础的路由进行访问,但是在因为这里消费的代码不能这样处理所以消费端的代码我使用了 larveal 提供的命令行。我们进行一个测试,可以看到消费者先是输出了接收到的数据,然后正常的打印出来了;在上面这段代码中 我们需要注意的是。
Redis进阶】Redis的持久化RDB和AOF
2401_83045332的博客
08-06 790
在服务线上请求的同时,Redis还需要进行内存快照,内存快照要求必须进行文件IO操作,文件IO操作会严重降低服务请求的性能,还可能会阻塞处理线上的请求业务。Redis在收到客户端修改命令后,先进性响应的校验如果没问题,就立刻将该命令追加到.aof文件中,也就是先存到磁盘中,然后服务器再执行命令。假设 AOF 日志记录了自 Redis 实例创建以来所有的修改性指令序列,那么就可以通过对一个空的 Redis 实例顺序执行所有的指令,也就是「重放」,来恢复 Redis 当前实例的内存数据结构的状态。
Redis远程字典服务器(0)——分布式系统
aaqq800520的博客
08-07 578
单机架构:应用程序 + 数据库服务器数据库和应用分离,应用程序和数据库服务器分别放到不同主机上部署了引入负载均衡,应用服务器 --> 集群,通过负载均衡器,把请求比较均匀的分发给集群中的每个应用服务器(当集群中的某个服务器挂了,其它有相同功能的数据仍然可以承担服务,提高了整个系统的可用性)引入读写分离,数据库主从结构,一个数据库作为主节点,其它N个数据库作为从节点,主节点负责写数据,从节点负责读数据,并且主节点需要把修改过的数据同步给从节点。
Redis 事务
lly202406的博客
08-03 455
Redis 事务提供了一种在单个操作中执行多个命令的机制,确保了数据的一致性和原子性。通过MULTI、EXEC和WATCH等命令,用户可以方便地构建事务,并处理各种复杂的业务场景。然而,用户在使用 Redis 事务时需要注意错误处理和事务的原子性,以确保系统的稳定性和可靠性。
Redisson中RAtomicLong的使用场景及例子
qq_40592590的博客
08-03 314
redisson
Redis的持久化的策略
Jc0803kevin的专栏
08-07 594
比如,如果你做一百次加法计算,最后你只会在数据库里面得到最终的数值,但是在你的 AOF 里面会存在 100 次记录,其中 99 条记录对最终的结果是无用的;AOF持久性记录服务器接收到的每个写操作,然后,可以在服务器启动时再次重播这些操作,重建原始数据集,使用Redis协议本身相同的格式记录命令。执行了 save 命令,就会在主线程生成 RDB 文件,由于和执行操作命令在同一个线程,所以会阻塞主线程。Redis 支持在不影响服务的前提下在后台子进程(主进程可以继续处理命令请求,避免阻塞主进程。
基于Redis实现全局唯一id
ppp666777的博客
08-03 296
如何将这三部分合在一起作为long返回呢?答案是使用位运算,我们可以这样想,将时间戳 左移32位,低位都补0正好空出了序列号的位置,将序列号位置与自增长count进行与运算就可。id的组成分为三部分:符号位,时间戳,序列号。高可用,唯一性,高性能,递增性,安全性。全局id生成器需要满足一下特点。
13.StringRedisTemplete使用
卷土的博客
08-07 203
所以,为了节省空间,不会使用json的序列化器来处理value,而是统一使用String序列化器,要求只能存储String类型的key和value,当需要存储java对象时,手动完成对象的序列化和反序列化。redisTemplate.opsForValue().set("student:100", new Student("小明", 22));存入hash的value需要时String类型,比如上面的18,不能写数字18,而是要写字符串18。存入单个key-value、key-java对象都是可以的。
兼容Redis,专注于多线程、内存效率和高吞吐量缓存数据库
yunmoon的博客
08-07 358
KeyDB 是 Redis 的一个高性能分支,专注于多线程、内存效率和高吞吐量。KeyDB 与 Redis 协议、模块和脚本保持完全兼容。在相同的硬件上,KeyDB 可以实现Redis 高得多的吞吐量。下面的图表比较了几种 KeyDB 和 Redis 的设置,包括最新的 Redis6 io-threads 选项和 TLS 基准测试。KeyDB的优势高性能: KeyDB 通过多线程并行处理命令,显著提升了数据库的吞吐量,尤其在处理大量并发请求时表现出色。
springboot使用Redis+jwt实现登录
03-22
可以使用Spring Security和JWT实现基于Redis的用户认证和授权。首先,需要在pom.xml中添加Spring Security和JWT的依赖。然后,可以创建一个JwtTokenProvider类来生成和验证JWT令牌。接下来,需要创建一个UserDetailsService实现类来从Redis中获取用户信息。最后,在Spring Security配置中配置JWTRedis的相关信息即可实现基于Redis的用户认证和授权。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

记得开心一点嘛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值