如何使JWT失效

最新推荐文章于 2024-05-28 09:53:50 发布
最新推荐文章于 2024-05-28 09:53:50 发布
阅读量9k 收藏 15
点赞数 8
分类专栏: jwt 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/T1058253468/article/details/95342738
版权

关于使JWT失效问题

最近在弄app接口,使用到JWT来管理token,关于JWT的优点,已经有很多博客介绍了,这里就不啰嗦了,讲一下我碰到的问题及解决方法.

问题

旧token不在服务器端存储,如何使其失效?

解决思路

用户表维护一个登录时间字段lastLoginDate,每次登录,退出,修改密码都更新此字段,
然后jwt生成时有个签发时间,根据签发时间比对登录时间,如果签发时间在登录时间前则视其为失效.
我的项目中用的jjwt(0.7.0版本),下面是代码示例

    /**
     * 生成jwt token
     */
    public String generateToken(String userId,Boolean rememberMe) {
        Date nowDate = new Date();
        long expiration = rememberMe ? expireRemember : expire;
        //过期时间
        Date expireDate = new Date(nowDate.getTime() + expiration * 1000);
        System.out.println("登录过期时间  >>>>"+DateUtils.formatDateTime(expireDate));
        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(userId)
                .setIssuedAt(nowDate)//签发时间
                .setExpiration(expireDate)//过期时间
                .signWith(SignatureAlgorithm.HS256, secret)
                .compact();
    }
    /**
     * token是否过期
     * @return  true:过期
     * lastLoginDate 最后一次登录时间
     * issueDate token 签发时间
     */
    public boolean isTokenExpired(Date expiration,Date lastLoginDate,Date issueDate) {
        //token签发时间小于上次登录时间 过期
        if(lastLoginDate == null){
            return expiration.before(new Date());
        }else{
            return issueDate.before(lastLoginDate);
        }
    }

拦截器里的判断

        Claims claims = jwtUtils.getClaimByToken(token);
        if(claims == null ){
            Result result = ResultGenerator.genFailResult(ResultCode.UNAUTHORIZED,"token无效,请重新登录");
            SendMsgUtil.sendJsonMessage(response,result);
            return false;
        }else{
            User user = UserUtils.getUserByToken(token);
            if(jwtUtils.isTokenExpired(claims.getExpiration(),user.getLoginDate(),claims.getIssuedAt())){
               Result result = ResultGenerator.genFailResult(ResultCode.UNAUTHORIZED,"token失效,请重新登录");
               SendMsgUtil.sendJsonMessage(response,result);
               return false;
           }
        }

经过本人实际测试应用,挺好用的>_<
奋斗的小火花
关注
  • 8
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 21
    评论
专栏目录
SpringCloud Alibaba 实战 - 如何让 jwt token 主动失效
wdjnb的博客
01-19 3717
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud al
如何在修改密码、修改权限、注销等场景下使JWT失效
wdj_yyds的博客
12-30 4534
大家好,我是不才陈某~ 今天这篇文章介绍一下如何在修改密码、修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JW
JWT实践总结篇 二 (实现JWT并发请求刷新、主动过期问题)
qq_41829492的博客
08-30 1073
实现JWT并发请求刷新、主动过期 在第一篇文章中总结出了很多JWT的特点,本篇我们解决在使用JWT过程中出现的问题解决思路。下面我们带着问题进入我的思路。 为什么JWT必须设置失效时间? 在使用JWT来认证的系统中,token是标识一个用户的身份、权限唯一标识,如果token泄露,不能保证盗用者拿token来做好事。因此安全起见,普遍token有效期非常短。 为什么需要我们来编写刷新逻辑? 假设...
JWT下token过期的处理策略
最新发布
weixin_43993064的博客
05-28 622
最简单最直接的方式用户再次输入他们的登录凭证,如用户名和密码,得到一个新的token。
Jwt token的几种设计方案及其实现
Author_CHEN的博客
11-05 1994
Jwt token设计方案及其实现 最近公司项目升级到spring security,使用到了Jwt token,遇到一些麻烦,特来记录一下 文章目录Jwt token设计方案及其实现什么是JwtheaderpayloadsignatureJwt token的优点Jwt token的缺点解决无法使Jwt token主动失效的缺陷导入依赖准备雪花算法工具类准备要写入的DTO类Jwt Token在Java的实现工具类 什么是Jwt Jwt是一种无状态的token方案。包括Header,payload和Sig
关于分布式系统中jwt token主动过期的方案总结
qq_34776150的博客
12-10 1796
jwt token本是为了解决服务间无状态调用确认调用身份合法性的问题出现的解决方案。其设计是为了去中心化、无状态的设计,无需一个统一的token管理服务。为了解决无法主动过期token的问题,就需要人为引入状态对token进行管理,需要服务端记录某些token,这又违背了jwt token的设计初衷。在实际生产中如果有类似需求,我们可以根据实际情况结合每种解决方案的优缺点来选择解决方案。我个人比较推荐黑名单的解决方案,因为其对存储的要求适中,且可以实时使token主动过期生效,提高了系统的安全性。
JWT 弊端解决思路(主动过期\权限更新)
编程大白菜
08-26 2722
JWT 弊端解决思路(主动过期\权限更新)
auth-jwt:一个通过逆向工程学习JWT的演示
02-05
clone > npm install-> npm start) 玩转配置阅读每页的提示,获得更多资源,以深入了解概念文献资料如果您想扩展代码以获得更多功能,参考文献关于代币密码学使JWT失效只需从客户端删除令牌创建令牌黑名单只需保持...
minivote:基于 Laravel + JWT 开发的投票小程序接口
05-16
过期的 Token 可请求一次接口,正常返回数据,并在响应头信息返回新的 Token,同时旧的 Token 失效。可通过配置文件修改 Token 过期时间。 小程序二维码 更新日志 2018年05月27日 增加敏感词过滤
flutter-jwt
03-19
dart-jwt-example一个示例项目,演示如何在Dart中实现基本JWT身份验证入门要运行此项目:确保已安装Dart,可克隆此仓库cd进入项目目录运行pub get安装软件包测验用$ dart bin/server.dart启动服务器尝试使用$ curl ...
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现 SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者...
asp.net Core 3.0 集成JWT Demo
03-09
Demo.Jwt Jwt的使用Demo 包含内容 - asp.net core集成jwt权限验证 - token的强制失效 - 对api接口进行基于策略模式的权限验证
修改jwt过期时间_服务端实现JWT主动失效
weixin_39777213的博客
01-29 4524
引言使用JWT时,有一个十分头疼问题就是:用户主动注销、强制登出(禁止登陆)、忘记密码、修改密码、JWT续签、踢出下线时,服务器不能让token主动失效!本文将探索关于这个问题的解决方案。目录:什么是JWTJWT的特点JWT主动失效方案JWT主动失效最佳实践进阶优化总结1.什么是JWTJWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方...
jwt退出登录/修改密码时如何使原来的token失效
热门推荐
乾坤未定,你我皆是黑马
11-20 1万+
其实前端删掉这个Token不就行了吗(小声bb 不行,这样即使退出登录后拿着以前的token还是可以访问到。 看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢? 既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。 第一种办法: 登录第一次生成token时,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退出登录时,删掉数据...
jwt token 太长_服务端实现JWT主动失效
weixin_39799290的博客
12-03 3217
引言使用JWT时,有一个十分头疼问题就是:用户主动注销、强制登出(禁止登陆)、忘记密码、修改密码、JWT续签、踢出下线时,服务器不能让token主动失效!本文将探索关于这个问题的解决方案。目录:什么是JWTJWT的特点JWT主动失效方案JWT主动失效最佳实践进阶优化总结1.什么是JWTJWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方...
spring cloud实战与思考(四) JWT之Token主动失效
weixin_30664051的博客
06-14 1375
需求: JWT泄露、密码重置等场景下,需要将未过期但是已经不安全的JWT主动失效。 本文不再复述JWT的基础知识,不了解的小伙伴可以自行Google一下。这里主要是针对以上需求聊一聊解决方案。如果服务端发给客户端的JWT还在有效期内,但是变得不安全,服务端需要及时将这些JWT标识出来并作废掉。相较于session机制,服务端对JWT的控制要弱很多。JWT一旦签发,就脱离了服务端的掌控...
JWT 使用入门(二)token有效期
qq_37534947的博客
10-12 3355
生成token,设置有效时间1分钟,其中密钥设置为"itcast"注意签发时间需要小于过期时间。
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6668
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
jwt怎么把token置为无效。
06-08
3. 更改密钥:在某些情况下,可以通过更改 JWT 签名所使用的密钥来使 JWT 失效。这样,无法使用旧密钥验证 JWT,因此 JWT 将无效。 需要注意的是,以上方法都不是完全可靠的,因为在某些情况下,客户端可能会继续...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 21
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值