【练习/后端】JWT实现新设备登录顶掉旧设备的一种简单实现

已于 2023-05-03 01:58:48 修改
阅读量233 收藏
点赞数
文章标签: java servlet 数据库
于 2023-05-03 01:43:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Uracil/article/details/130469193
版权

中心思想就是在JWT令牌中生成一个随机数,并记录这个令牌的第一次生成的时间。如果之后使用这个令牌进行登录但发现当前记录的最近一次的登录令牌不是这个,就要阻止登录。

下面的checkAndDealWithExistedLogin()方法返回true说明允许登录,false则是令牌失效。

public class LoginManager {
    private static final ConcurrentHashMap<Integer, DeviceInfo> LOGIN_USER_DEVICE_MAP = new ConcurrentHashMap<>();
    private static final ConcurrentHashMap<Integer, Lock> USER_LOCK_MAP = new ConcurrentHashMap<>();

    public static boolean checkAndDealWithExistedLogin() {
        Integer currentUserId = getCurrentUserId();
        String currentUserDeviceId = getCurrentUserDeviceId();
        // 为每个用户加一个锁,防止一个用户同时在多个设备登录并避免阻塞过多线程
        lock(currentUserId);
        try {
            // 没登录过直接放行,并记录到map
            if (!LOGIN_USER_DEVICE_MAP.containsKey(currentUserId)) {
                LOGIN_USER_DEVICE_MAP.put(currentUserId, new DeviceInfo(currentUserDeviceId, System.currentTimeMillis()));
                return true;
            }
            Long currentUserLoginTimestamp = getCurrentUserLoginTimestamp();
            DeviceInfo deviceInfo = LOGIN_USER_DEVICE_MAP.get(currentUserId);
            // 仍然是上一个设备登录,直接放行
            if (deviceInfo.id.equals(currentUserDeviceId)) {
                return true;
            } else {
                // 当前登录新于已存在登录,修改信息并放行
                if (deviceInfo.loginTimestamp < currentUserLoginTimestamp) {
                    LOGIN_USER_DEVICE_MAP.put(currentUserId, new DeviceInfo(getCurrentUserDeviceId(), getCurrentUserLoginTimestamp()));
                    return true;
                }
                // 当前为旧登录,拒绝访问
                return false;
            }
        } finally {
            unlock(currentUserId);
        }
    }

    private static void lock(Integer userId) {
    	// 使用putIfAbsent实现原子性
        USER_LOCK_MAP.putIfAbsent(userId, new ReentrantLock());
        USER_LOCK_MAP.get(userId).lock();
    }

    private static void unlock(Integer userId) {
        USER_LOCK_MAP.get(userId).unlock();
    }

	// 下面3个方法使用了ThreadLocal,
	// 就是在LoginFilter过滤器中把请求头中携带的token数据进行解析,
	// 并放入其中,供本次请求对应的线程在处理整个流程中获取
	// 代码见下面
    public static String getCurrentUserDeviceId() {
        return LoginFilter.DECODED_JWT_THREADLOCAL.get().getClaim("deviceId").asString();
    }

    public static Integer getCurrentUserId() {
        return LoginFilter.DECODED_JWT_THREADLOCAL.get().getClaim("userId").asInt();
    }

    public static Long getCurrentUserLoginTimestamp() {
        return LoginFilter.DECODED_JWT_THREADLOCAL.get().getClaim("loginTimestamp").asLong();
    }

    @Data
    @AllArgsConstructor
    private static class DeviceInfo {
        String id;
        Long loginTimestamp;
    }
}

LoginFilter中的片段:

String jwt = request.getHeader(LoginFilter.TOKEN_KEY);
try {
    DECODED_JWT_THREADLOCAL.set(JwtUtils.verify(jwt));
    boolean pass = LoginManager.checkAndDealWithExistedLogin();
    if (pass) {
    	// 通过就继续处理
        filterChain.doFilter(request, response);
    } else {
    	// 否则抛异常和jwt无效一同处理
        throw new RuntimeException();
    }
} catch (Exception e) {
    response.getOutputStream().write(gson.toJson(Resp.error(RespCode.JWT_TOKEN_INVALID,
            e.getMessage())).getBytes());
} finally {
	// 在这里一定要移除在ThreadLocal中存储的登录令牌
	// 因为不手动移除,ThreadLocal的设计可能会导致内存泄漏
    DECODED_JWT_THREADLOCAL.remove();
}
丑橘u
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt token进行登录上次登录
xiegongmiao的博客
01-26 1719
使用jwt中的token来挤前一个用户 一.我的大概思路: 1.首先创建一个服务器全局static变量的map集合。 2.在登陆的时候,做如下操作: a) map集合是不容许相同键的,遍历map集合的token,解析token中的用户名是否是当前登陆的用户名,如果存在,将当前的token的值设置成false并移除当前的token。 b) 然后把键:的token值,和键值:true存到map集合中。 3.在每次请求数据的过滤器中,做如下操作: a)拿到token,根据键token,拿到键
后端分离 用 jwt token 做用户认证
04-23 2312
0 前后端分离下的用户信息认证 前端使用Vue+axios,后端使用SpringBoot+SpringSecurity。 为了解决http无状态的问题,我采用jwt(json web token)保存用户信息,前端每次发起请求时带上,交给后端做用户认证。此时需要解决的问题是后端如何将生成的jwt返回前端,以及前端在拿到jwt后如何在每次请求时携带jwt。个人还是推荐 shiro做的权限认证,方...
实现同一账号在不同设备登录时互相的功能
m0_69057918的博客
06-30 1006
实现同一账号在不同设备登录时互相的功能
restfull加JWT TOKEN进行登录上一次的登录(为什么不用springsecurity的session)
qq_28929589的博客
03-15 7012
方案1使用springSecurity中的通过springSecurity的用户帐号和sessionid来判断sessionid是否是同一个浏览器进行数据的访问,而达到访问报错。a) 但是,我测试过,出现一个错误,每一次请求的sessionId都不一样?是不是前端的cookie给禁用了。导致sessionid返不回服务器。是每一次的请求的sessionid都不一样。原因是:restful是无状态的...
jwt挤下线,不能重复登陆功能具体实现,基于ruoyi后台管理框架(分离版)
爱音乐的程序猿的博客
03-16 5606
文章目录前言基于ruoyi管理框架,前后端分离版做的修改,大致思路在我上一篇博客中有,这里直接讲具体实现一、用户结构二、修改登录接口,在登陆的同时随机生成版本号,用户id加前缀当做key存入redis当中这一步做完redis当中有用户信息,还有一个key存储了登录版本三 在token过滤器中校验版本号最终,当有另一个人登录同一个账号时,前面人带着之前的token信息访问会被拒绝,如下效果总结 前言 我之前写过一次jwt挤下线的功能实现,不过不够具体 jwt挤下线的功能实现 这次详细写一写, 基于ruoy
jwt实现一个帐号只能同时在一个设备(端)登录的思路
热门推荐
爱拼才会win
05-05 2万+
jwt的规范目前只检测jwt的发布者,过期时间,签名等信息.大部分现成的库都是按照标准写的.但是标准没有要求jwt带入登录时间等信息,因此用户连续登录多次,后台返回的token在有效期内都能访问后台api.也就是用户可以在多个设备同时登录. 有人会采用在登录时将jwt用redis等储存起来,在api的中间件检查时去查数据库中是否储存了这个token,设置过期时间.如果用户再次登录,那么将该tok...
node实现后端服务器认证机制练习
02-11
JWT是一种无状态的认证方式,它将用户信息加密并自包含在令牌中。客户端在获得JWT后,每次请求都将令牌附在请求头中,服务器解码验证令牌的合法性来确定用户身份。 实现步骤: - 安装`jsonwebtoken`库:`npm ...
基于SpringBoot+Mybatis-Plus+JWT 实现的社区系统,前后端分离.zip
最新发布
12-24
JWT是一种轻量级的身份验证标准,用于在客户端和服务器之间安全地传输信息。在这个社区系统中,JWT用于用户认证和授权,当用户登录后,服务器会生成一个包含用户信息的JWT并返回给客户端,之后客户端在每次请求时...
疫防控后端代码接口编写练习
03-27
在“疫防控后端代码接口编写练习”这个项目中,主要涉及的是后端开发中的接口设计与实现。接口是软件系统中不同组件间通信的重要桥梁,尤其在后端开发中,它扮演着服务提供者和服务消费者之间约定的角色。在这个练习...
online-store-backend-practice:通过建立在线商店来练习后端
03-27
在这个项目"online-store-backend-practice"中,我们主要关注的是后端开发的实践,通过构建一个在线商店的后台系统来提升这方面的技能。虽然标签只提到了HTML,但通常一个完整的后端系统会涉及到多种技术,包括但不...
backend-practice:练习代码以巩固我对后端JavaScript的理解
03-16
后端JavaScript,也称为服务器端JavaScript,是利用Node.js平台实现的一种编程方式,它让开发者能够在服务器上运行JavaScript代码,进而构建高效、可扩展的网络应用。 ### JavaScript概述 JavaScript是一种广泛使用...
基于redis实现 jwt设备登陆
qq_44352617的博客
06-07 1079
最近在研究security单设备登陆,单体的security(不使用oauth2)可以用内置的session设置session最大数量来实现设备。oauth2的jwt该如何来实现设备登陆?
JWT 实现登录
Dailyblue的专栏
06-24 8285
jwt 全称是 json web token。是由用户以用户名、密码登录,服务端验证后,会生成一个 token,返回给客户端,客户端在下次访问的过程中携带这个 token,服务端责每次验证这个token。
使用JWT如何限制账号不能同时在多台设备登录
u800820的专栏
10-30 3354
限制账号不能同时登录多台设备简单实现方法。
[多登录页]Spring boot集成Spring security及JWT实现多页面(多种登录方式)前后端分离登录鉴权
Tec Log
08-23 1770
我的这篇文章详细描述了如何使用Spring boot集成Spring security及JWT实现单一登录页面前后端分离登录鉴权。但是在服务设计中,经常有多端登录的需求。比如一套系统一般分为后台管理系统,和前台系统。更细致区分,可能前台还分为不同登录端,比如移动端和PC端。这时,不同的系统就需要不同的登录鉴权体系。比如admin的登录鉴权无论是颁发的token还是使用的用户存储表,都与user前台的数据不同。这就要求我们在使用Spring security的时候,具备提供多套登录鉴权认证体系的能力。....
利用JWT安全验证(前后端分离,单点登录,分布式微服务)(转发)
weixin_43712939的博客
06-14 85
利用JWT安全验证(前后端分离,单点登录,分布式微服务)
JWT 登录
从零开始的博客
10-21 763
JWT 使用、封装的工具类。
SpringBoot Websocket Stomp 实现设备登录(号) ①
t0m的专栏
05-13 841
当继承spring-messaging的stomp后,它封装的比较封闭,stomp有维护session会话列表,但是外部无法通过正常方式获取到,如果不想自己再维护一个可以尝试通过下面方式实现设备登录功能。单设备登录方式直接使用websocket实现比较容易实现,通常自己维护session会话列表管理即可。本案例场景:同账号登录时,存在已在线通同账号,发送一个消息给在线账号告知号,然后将连接断开。单设备检测及消息发送。
JWT初步了解
m0_54098516的博客
05-31 323
JWT初步了解
前端用html/css/javascript,后端用node.js实现一个用户注册和登录功能
05-27
好的,以下是一个简单的用户注册和登录功能的实现: 1. HTML 页面 首先,我们需要创建一个用于用户注册和登录的 HTML 页面。页面包含一个表单,用户可以在其中输入用户名和密码。此外,我们还需要为表单中的按钮添加点击事件,以便触发注册和登录功能。以下是一个示例 HTML 页面: ```html <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>用户注册和登录</title> </head> <body> <h1>用户注册和登录</h1> <form id="user-form"> <label>用户名:</label> <input type="text" id="username" name="username"><br> <label>密码:</label> <input type="password" id="password" name="password"><br> <button type="button" id="register-btn">注册</button> <button type="button" id="login-btn">登录</button> </form> <script src="app.js"></script> </body> </html> ``` 2. CSS 样式 为了美化我们的页面,我们可以添加一些 CSS 样式。以下是一个示例 CSS 文件: ```css h1 { text-align: center; } form { margin: 0 auto; width: 300px; text-align: center; } label { display: inline-block; width: 80px; text-align: right; margin-right: 10px; } input[type="text"], input[type="password"] { width: 200px; margin-bottom: 10px; } button { margin-right: 10px; } ``` 3. Node.js 后端 接下来,我们需要使用 Node.js 来实现后端功能。我们将使用 Express 框架来搭建服务器,并使用 jsonwebtoken 库来处理用户认证。 首先,我们需要安装 Express 和 jsonwebtoken: ``` npm install express jsonwebtoken ``` 然后,我们可以创建一个名为 "server.js" 的文件,并在其中编写以下代码: ```javascript const express = require('express'); const bodyParser = require('body-parser'); const jwt = require('jsonwebtoken'); const app = express(); const JWT_SECRET = 'my_secret_key'; const users = []; app.use(bodyParser.json()); app.post('/register', (req, res) => { const { username, password } = req.body; // 检查用户名是否已存在 if (users.find(user => user.username === username)) { return res.status(409).send('用户名已存在'); } // 将用户添加到用户列表 users.push({ username, password }); // 创建 JWT token const token = jwt.sign({ username }, JWT_SECRET); // 返回 JWT token res.status(201).send({ token }); }); app.post('/login', (req, res) => { const { username, password } = req.body; // 查找用户 const user = users.find(user => user.username === username); // 检查用户名和密码 if (!user || user.password !== password) { return res.status(401).send('用户名或密码错误'); } // 创建 JWT token const token = jwt.sign({ username }, JWT_SECRET); // 返回 JWT token res.send({ token }); }); app.listen(3000, () => { console.log('服务器正在运行'); }); ``` 以上代码创建了一个 Express 应用程序,并定义了两个路由:一个用于用户注册,另一个用于用户登录。当用户注册或登录成功时,服务器将使用 jsonwebtoken 库创建一个 JWT token 并将其返回给客户端。 4. JavaScript 客户端 最后,我们需要在客户端中编写 JavaScript 代码来处理用户输入并将其发送到后端。以下是一个示例 JavaScript 文件: ```javascript const userForm = document.querySelector('#user-form'); const registerBtn = document.querySelector('#register-btn'); const loginBtn = document.querySelector('#login-btn'); const API_URL = 'http://localhost:3000'; registerBtn.addEventListener('click', () => { const username = document.querySelector('#username').value; const password = document.querySelector('#password').value; // 发送注册请求 fetch(`${API_URL}/register`, { method: 'POST', body: JSON.stringify({ username, password }), headers: { 'Content-Type': 'application/json' } }) .then(response => response.json()) .then(data => { // 将 JWT token 存储到本地存储中 localStorage.setItem('token', data.token); alert('注册成功'); }) .catch(error => { console.error(error); alert('注册失败'); }); }); loginBtn.addEventListener('click', () => { const username = document.querySelector('#username').value; const password = document.querySelector('#password').value; // 发送登录请求 fetch(`${API_URL}/login`, { method: 'POST', body: JSON.stringify({ username, password }), headers: { 'Content-Type': 'application/json' } }) .then(response => response.json()) .then(data => { // 将 JWT token 存储到本地存储中 localStorage.setItem('token', data.token); alert('登录成功'); }) .catch(error => { console.error(error); alert('登录失败'); }); }); ``` 以上代码在客户端中添加了两个点击事件,用于注册和登录用户。当用户点击 "注册" 或 "登录" 按钮时,JavaScript 将用户输入发送到后端,并在成功时存储 JWT token 到本地存储中。 以上就是一个简单的用户注册和登录功能的实现。当用户成功注册或登录后,他们将获得一个 JWT token,并可以使用该 token 来访问受保护的资源。在实际应用中,我们可能需要更多的安全性和功能来确保用户数据的保护和隐私。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值