redis优化token校验主动失效

最新推荐文章于 2024-06-19 22:02:48 发布
最新推荐文章于 2024-06-19 22:02:48 发布
阅读量463 收藏 5
点赞数 3
文章标签: redis 数据库 缓存 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HOMEXS/article/details/136994771
版权
  1. 场景:在普通的token颁发和校验中 当用户发现自己账号和密码被暴露了时修改了登录密码后旧的token仍然可以通过系统校验直至token到达失效时间,这肯定是不安全的,所以系统需要token主动失效的一种能力
  2. 解决方案:我们可以使用redis来实现redis主动失效的的功能
  3. 需求实现逻辑:
    1. 在每次用户登录后颁发token的同时往redis数据库中存储一份颁发给用户的token
    2. 每次每次用户请求时除了解析token外还需要查询redis中是否有当前token有则校验通过,没有则校验失败
    3. 每次用户修改密码后删除redis中当前用所携带的token,从而使旧token无法通过token校验
  4. 代码实现
    1. pom.xml中添加redis坐标
<!--redis坐标-->
      <dependency>
          <groupId>org.springframework.boot</groupId>
          <artifactId>spring-boot-starter-data-redis</artifactId>
      </dependency>

2. 配置文件application.yml中配置redis相关信息

spring:
  data:
    redis:
      host: redis所在的ip,本机的redis服务填localhost
      port: redis服务端口,默认6379
      password: redis中设置的密码,没有就不需要



3. 颁发token时往redis中存储token

//UserController中添加私有属性stringRedisTemplate并实例化
@Autowired
private StringRedisTemplate stringRedisTemplate;

//登录接口中把token存到redis 过期时间3小时
stringRedisTemplate.opsForValue().set(token,token,3, TimeUnit.HOURS);

4. 登录时校验是否redis中有当前token

package org.example.intercopters;

import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.example.utils.JwtUtil;
import org.example.utils.ThreadLocalUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import java.util.Map;

@Component //注册拦截器 将其放入ioc容器中
public class LoginInterceptor implements HandlerInterceptor {
    @Autowired
    private StringRedisTemplate redisTemplate;
    //创建登录身份校验拦截器
    @Override  //请求开始前触发的拦截方法
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //令牌验证
        String token = request.getHeader("Authorization");
        //去除token的前缀标记"Bearer "
        var newToken = token.contains("Bearer ")?token.substring("Bearer ".length()):token;

        try {
            **//从redis获取相同的token
            String redisToken = redisTemplate.opsForValue().get(newToken);
            if(redisToken == null){
                //redis失效
                throw new RuntimeException("token失效");
            }**
            Map<String, Object> claims = JwtUtil.parseToken(token);

            //把用户信息存储到ThreadLocal中,tomcat会在每次接口请求时创建一个线程 而ThreadLocal中存储的数据是线程安全的
            ThreadLocalUtil.set(claims);

            //放行
            return true;

        } catch (Exception e) {
            //设置响应状态码
            response.setStatus(401);
            //设置响应字符集和响应内容
            response.setCharacterEncoding("UTF-8");
            response.setContentType("text/html; charset=UTF-8");
            String errorMessage = "未登录";
            response.getWriter().write("{\"error\": \"" + errorMessage + "\"}");
            //不放行
            return false;
        }
    }
    @Override  //请求完成后触发的拦截方法
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        //清空ThreadLocal中的数据
        ThreadLocalUtil.remove();
    }
}

5. 修改密码后删除redis中的token

//修改密码接口中删除redis中对应的token
ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();
operations.getOperations().delete(newToken);
  1. 在本地开发中如果使用本地redis每次开发前还得去启动本地redis,就很麻烦,如果你有一个云服务器就可以本地连云服务器redis就不用每次去启动redis了,下面是实现教程
    1. https://blog.csdn.net/weixin_45695974/article/details/123244011
前端小菜渣渣徐
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
拦截器+Redis实现Token用户信息登录校验
weixin_43204673的博客
07-03 2857
登录拦截器:在这里介绍的登录拦截器主要有两个功能作用,禁止未登录或登录信息失效状态下对系统进行操作,同时实现用户登录信息的过期机制。 我们通常会将用户信息保存在session或cookie中,而对于session来讲设置它的过期时间相对不太灵活,cookie又允许被禁用,所以我选择将用户信息加密成token存在请求头中。 对于我的项目来说,后端所有接口中只会用到当前用户的userId,userName和用户类型userType。所以在登陆时我将这三个信息拼接并解密成token传给前端,同时将此token存入
nginx+lua+redis实现token验证
09-29
nginx+lua+redis实现token验证。实现基本的token验证、反向代理转发内部服务,lua连接redis封装、lua域名解析封装、lua域名脚本等
Redis缓存用户Token的推荐方法
jakelihua
04-25 506
字符串数据结构在Redis中用于存储简单的键值对,是最基本的数据类型。由于Token本质上是键(用户ID或会话ID)和值(Token字符串)的映射,字符串类型非常适合这一用途。使用string类型与使用Hash类型的对比表格。
基于Redis+Token实现登录认证
mameng1988的博客
04-19 1万+
登录认证即分为登录和认证两部分,下面聊下他们的实现逻辑。 1 登录 前端调用后端的登录接口,后端验证用户名和密码等成功后,则做下面两个主要工作: 1 以用户id为key,生成的token为value,缓存redis中并设置过期时间 2 以生成的token为key,用户信息为value,缓存redis中并设置过期时间 最后将token及用户信息返回给前端,前端将token放在header中,调用其他接口时都携带者。 如果退出登录,则将上面的两条信息从redis中删除即可 2 认证 前端调用其他接口时,
【Python_Flask系列之_JWT+Redistoken管理(包含失效)】
qq_36651949的博客
04-07 556
本次使用了白名单的思路,登录时将token存入redis中,登录退出时将token移除redis中,登录退出后原来的token失效,无法使用之前的token,需要再次登录获取新的token操作业务。
SpringBoot2.0+Mybatis整合token+redis(每一次请求触发redistoken续期)
qq_34246965的博客
04-26 1646
前言 token的灵活使用是大家都有所了解的,但是如果指定了token失效时间过短的话,会造成用户的使用体验大打折扣。假如设定了两小时,两小时内无论做什么动作,时间一到就会失效重新登录。这样太麻烦了,有没有可以让两小时内一旦点击内容或者做了某动作,就会让token的过期时间在那个时间点后面再延长两小时。答案是有的。现在我来说说如何实现。 1.当登录成功时,redis添加key和value值均为token的值 @RestController public class TestLoginControlle
Token + redis 的原因
qq_62297584的博客
04-02 826
即使是无状态的JWT,你也可能需要在某些情况下撤销它们。例如,如果用户的账户被注销,或者你发现了一些可疑的活动,你可能希望立即使用户的token失效。通过在Redis中存储活动的token,你可以在需要时删除它们,从而使它们立即失效。:在使用短期token和长期刷新token的策略中,你可能需要在服务器端存储刷新token。当用户使用刷新token来获取新的访问token时,你需要检查刷新token是否有效,这通常通过在服务器端查找它来完成。:在某些情况下,你可能希望防止攻击者多次使用同一个token
Springboot 整合 JWT + Redis 实现双Token 校验Demo(简单实现)
热门推荐
MR.骑士道
11-23 1万+
Springboot 整合 JWT + Redis 实现双Token 校验Demo(简单实现)
Zuul网关优化实践之token校验
长沙要起风了、
08-20 1477
公司最近要上线一个活动功能,由于后端这边的安全等级非常低,用户编号都是通过接口明文传输,稍微懂点技术的都可以利用请求监控拿到请求的URL和参数,由于之前都是赶业务需求,导致后端整体安全性偏低了,所以趁着这次redis也在应用中,所以决定在zuul中加入一个token授权功能,来缓解一下别人非法模拟其他用户编号来请求刷数据。 利用redis + token来实现单点登录 实现思路 Filter zuul一共有: pre、route、post、error 四种类型的拦截器,分别对应的时机为开始前、执行中、执行后
基于redis实现token验证用户是否登陆
01-19
基于项目需求, 我们要实现一个基于redis实现token登录验证,该如何实现呢: 后端实现: 1.引入redis相关的依赖 <groupId>org.springframework.boot <artifactId>spring-boot-starter-data-redis <groupId>...
springboot+redis+token保持登录
08-03
通过redis 设置session过期时间,实现token 登录机制
SpringBoot框架集成token实现登录校验功能
08-25
SpringBoot框架集成token实现登录校验功能 SpringsBoot框架集成token实现登录校验功能是指在SpringBoot框架中使用token来实现登录校验功能的方法,这种方法可以在移动端和服务器端之间实现安全的身份验证。下面将...
Laravel的Auth验证Token验证使用自定义Redis的例子
10-16
今天小编就为大家分享一篇Laravel的Auth验证Token验证使用自定义Redis的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
redis的基本数据类型】
m0_50116974的博客
06-13 600
压缩列表的基本信息包括压缩列表的大小,压缩列表的长度以及最后一个entry的偏移,之所以要有这个偏移,是为了找到最后一个entry,而每个entry都记录上一个元素的大小,通过计算就知道上一个entry的地址,这样方便的从后向前进行遍历。的结构,其分为两部分,8字节的Redis对象元数据信息,8字节的指针,其中Redis对象的元数据信息存储了类型的LRU信息,真正的编码格式等等,而如果字符串存储的是数字类型,则复用了8字节的指针的位置。的操作,但是当列表的元素非常少的时候,其内部使用。
跨服务器迁移 Redis 数据
jixiaoyu0209的博客
06-16 281
上述方法中,使用redis-cli工具进行数据导出和导入是较为简单和常用的方式,适合小规模数据迁移;而工具适合大规模数据迁移和实时同步。如果对停机时间要求不高,可以选择前两种方法;如果需要在线迁移,则推荐使用。
Redis缓存击穿与解决
最新发布
李青水的博客
06-19 386
Redis缓存击穿
redis实现token校验
07-27
在使用Redis实现token校验时,可以根据用户的使用情况动态调整token的过期时间。在生成token的同时,将创建token的时间戳存储在Redis中。每次请求被拦截器拦截并通过token验证成功后,将当前时间与存储在Redis中的token生成时间进行比较。如果当前时间距离创建时间快要到达设置的Redis过期时间,就重新设置token的过期时间,延长过期时间。如果用户在设置的Redis过期时间内没有进行任何操作(没有发请求),则token会在Redis中过期。具体的代码实现可以在Controller层生成token信息并存入Redis中,同时与用户登录态建立联系。生成token时,可以使用UUID生成唯一的token,并将token和用户登录态存入Redis中。设置token的过期时间,例如1小时。最后,将token返回给客户端。在拦截器中,通过获取客户端传过来的Authorization字段,尝试从Redis中获取对应的用户名。如果可以获取到用户名,则说明token正确;反之,说明token错误,返回鉴权失败。这样就实现了基于Redistoken校验。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [基于SpringBoot和Redis实现Token权限认证 & 基于redis实现token验证用户是否登陆](https://blog.csdn.net/weixin_38088772/article/details/111319039)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值