SpringSecurity 退出登录/修改密码/重置密码 使JWT的token失效的解决方案

最新推荐文章于 2024-04-08 21:06:54 发布
最新推荐文章于 2024-04-08 21:06:54 发布
阅读量4.9k 收藏 8
点赞数 2
分类专栏: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenduo/article/details/114133964
版权

 

 

利用数据库,存放一个token过期的时间字段  private LocalDateTime expireTime;

用户进行 修改密码、重置密码、退出登录 的操作时   修改数据库中token过期的时间字段 expireTime

 

在创建token时,标注上创建的时间 .setIssuedAt(new Date())。

如果这个创建时间小于 数据库中token过期时间expireTime,就表示它是修改或者登出之前的token,为过期token

 

token创建时间>数据库中的token过期时间  === 抛出异常 token失效 

 

1.设置token的创建时间

2.方法拿到该token的创建时间

   /**
     *  token创建时间
     * @param token
     * @return
     */
    public  Date getCreateTime(String token){
        return getTokenBody(token).getIssuedAt();
    }

 

3.在JWT拦截器中 拿到该用户的信息后   拿到该用户 的token过期时间expireTime,然后与 该token的生成时间做比较,

如果该token生成的时间 在用户修改时间之前  则抛出去异常 。

到此旧的token就失效了  重新登录的时候 会生产新的token  新token的创建时间也会更新  拦截器到这里的时候 

这个创建时间肯定是在 更新时间之后的 自然就放行了。

代码中LocalDateTime 和Date 做了下格式转换 ,如果你定义的实体是Date 类型  直接用before 就可以了。

Date createTime = jwtUtils.getCreateTime(authToken); //token的生成时间
                    LocalDateTime updateTime = jwtUserDto.getUserEntity().getExpireTime();//修改密码/重置密码/退出登录 的时间
                    LocalDateTime createDate = createTime.toInstant().atOffset(ZoneOffset.ofHours(8)).toLocalDateTime();
                    if (null != updateTime) {
                        if (createDate.isBefore(updateTime)) {
                            throw new AccountExpiredException("token已经失效,请重新登录!");
                        }
                    }

 

 

奋斗⁹⁸
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
循序渐进学spring security 第十二篇 修改登录密码后如何让修改前的token失效
huangxuanheng的专栏
08-02 2921
文章目录回顾如何实现用户修改密码,之前的token失效?用户修改密码后,需要重新登录验证密码是否被修改测试功能 回顾 前面我们介绍了《循序渐进学spring security 第十篇 如何用token登录JWT闪亮登场》JWT 生成token的方式生成了登录凭证token,这样客户端只需要在请求接口上添加请求头token,服务端在过滤器中拦截并取出来token值,进行静默登录,但是有一个问题,不知道大家是否有留意到,如果用户修改密码,并且重新登录过系统,而此时,如果还是用以前的token,还能继续访
Spring Security中使用token
热门推荐
超频化石鱼的博客
09-12 1万+
单点登录与多点登录 单点登录:同一个账号在同一时间只有一个token有效。一旦生成新的token,所有旧token失效。 多点登录:同一个账号在同一时间可多次登录,每次登陆都会获得一个token。这些token的有效期是隔离的,不受新生成token的影响。 对于token,若要实现单点登录,则必须将所有token保存在服务端。这实际上与token服务端不负责保存的本质相悖。若要实现单点登录,建议使用session。 下面将实现多点登录。 原理与思路 Spring Security的认证与授权是分开的:
Spring Security——13,认证成功&&失败&&注销成功处理器
最新发布
weixin_42858422的博客
04-08 764
测试一下:输入正确的账号密码登录成功返回认证成功测试一下:输入错误的账号密码登录失败返回认证失败测试一下:登录成功之后,访问注销的接口。
解决Spring cloud 整合securitytoken过期以后跳转默认登录页的问题
qq_37611096的博客
05-24 2717
解决Spring security token过期以后跳转默认登录页的问题1、背景排查过程解决办法 1、背景 因为启动新项目,用到了spring security的架构。新项目是一个前后端分离的项目,但是整合进来以后,登录没有问题,但是只要401,就会弹出spring security的默认登录页。如下图 排查过程 试过很多方式,比方:禁用formLogin(),禁用httpBasic都没有用,包括在@SpringBootApplication注解上加(exclude = {SecurityAutoCon
SpringSecurity从入门到放弃之JWT认证登陆(一)
qq_33479841的博客
05-26 1585
1.概述 Spring Security是一个高度自定义的安全框架,它利用Spring IoC和AOP的特性,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码,使代码更加高内聚、低耦合。Spring Security作为Spring 家族的一员,与Spring MVC及其它Spring框架能很好地集成。本文将展示Spring Security整合JWT实现登陆和退出等功能,以及解释一下其运行原理。 2.案例 2.1 基础概念 2.1.1 什么是认证 当访问一个系统时(应用),输入账户名
spring security 密码过期强制修改密码
路过君的博客
07-22 2124
定义认证失败处理器处理CredentialsExpiredException密码过期异常 public class AuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler { protected Logger logger = LoggerFactory.getLogger(this.getClass()); public AuthenticationFailureHandler() { .
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者Token过期了,那么禁止访问系统。如果用户一直...
Spring Security基于JWT实现SSO单点登录详解
08-25
Spring Security 基于 JWT 实现 SSO 单点登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
在IT行业中,Spring Boot和Spring Security是两个非常重要的框架,它们在构建现代Web应用程序时起着核心作用。JWT(Json Web Token)则是一种安全的身份验证机制,被广泛应用于微服务架构和API授权。本篇文章将深入...
单点登录SSO解决方案SpringSecurity+JWT实现.docx
10-26
单点登录SSO解决方案SpringSecurity+JWT实现.docx
SpringSecurity 退出登录使JWT失效解决方案
suchahaerkang的博客
09-27 6686
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
Spring Security 退出登录
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
06-07 1111
这一篇就来讲讲如何退出登录的一些处理,包括如何退出登录Spring Security默认的退出处理逻辑以及退出登录相关的配置项。
Spring Security--退出登录
我和井盖都笑了博客
04-05 393
退出登录       用户只需要向 Spring Security 项目中发送/logout 退出请求即可。 1 退出实现       实现退出非常简单,只要在页面中添加/logout 的超链接即可。       默认退...
SpringSecurity 退出登录
Curtisjia的博客
10-31 3406
退出登录 Spring Security默认的退出登录URL为/logout,退出登录后,Spring Security会做如下处理: 是当前的Sesion失效; 清除与当前用户关联的RememberMe记录; 清空当前的SecurityContext; 重定向到登录页。 Spring Security允许我们通过配置来更改上面这些默认行为。 我们在Spring Security配置中添加如下配置: ...... .and() .logout() .logoutUrl("/logout"
如何使JWT失效
T1058253468的博客
07-10 9056
关于使JWT失效问题问题解决思路 最近在弄app接口,使用到JWT来管理token,关于JWT的优点,已经有很多博客介绍了,这里就不啰嗦了,讲一下我碰到的问题及解决方法. 问题 旧token不在服务器端存储,如何使其失效? 解决思路 用户表维护一个登录时间字段lastLoginDate,每次登录,退出,修改密码都更新此字段, 然后jwt生成时有个签发时间,根据签发时间比对登录时间,如果签发时间...
如何在修改密码修改权限、注销等场景下使JWT失效
wdj_yyds的博客
12-30 4550
大家好,我是不才陈某~ 今天这篇文章介绍一下如何在修改密码修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JW
系统安全功能:系统退出后令牌失效
m0_46464597的博客
01-19 470
通过构建系统的双层安全机制,我们有效地应对了用户退出后令牌的滥用风险。这种机制简单而强大,为Web应用提供了额外的安全保障,使用户退出更具安全性。
spring security校验jwt token的代码
05-26
Spring Security校验JWT Token的代码可以参考如下: 首先,需要创建JWT Token的验证过滤器类。该类继承自OncePerRequestFilter,并在doFilterInternal()方法中实现了JWT Token的校验逻辑: ```java public class JwtTokenAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider jwtTokenProvider; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = jwtTokenProvider.resolveToken(request); try { if (token != null && jwtTokenProvider.validateToken(token)) { Authentication auth = jwtTokenProvider.getAuthentication(token); if (auth != null) { SecurityContextHolder.getContext().setAuthentication(auth); } } } catch (JwtException e) { response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); response.sendError(HttpServletResponse.SC_UNAUTHORIZED, e.getMessage()); return; } filterChain.doFilter(request, response); } } ``` 然后,需要创建JWT Token的提供者类,该类负责创建Token并验证Token: ```java @Component public class JwtTokenProvider { @Value("${jwt.secret}") private String secretKey; @Value("${jwt.token.validity}") private long validityInMilliseconds; private Key getSecretKey() { return Keys.hmacShaKeyFor(secretKey.getBytes()); } public String createToken(String username, List<Role> roles) { Claims claims = Jwts.claims().setSubject(username); claims.put("auth", roles.stream().map(role -> new SimpleGrantedAuthority(role.getAuthority())).filter(Objects::nonNull).collect(Collectors.toList())); Date now = new Date(); Date validity = new Date(now.getTime() + validityInMilliseconds); return Jwts.builder() .setClaims(claims) .setIssuedAt(now) .setExpiration(validity) .signWith(getSecretKey()) .compact(); } public Authentication getAuthentication(String token) { UserDetails userDetails = new User(getUsername(token), "", getAuthorities(token)); return new UsernamePasswordAuthenticationToken(userDetails, "", userDetails.getAuthorities()); } private String getUsername(String token) { return Jwts.parserBuilder().setSigningKey(getSecretKey()).build().parseClaimsJws(token).getBody().getSubject(); } private List<GrantedAuthority> getAuthorities(String token) { Claims claims = Jwts.parserBuilder() .setSigningKey(getSecretKey()) .build() .parseClaimsJws(token) .getBody(); List<LinkedHashMap<String, String>> roles = (List<LinkedHashMap<String, String>>) claims.get("auth"); return roles.stream().map(role -> new SimpleGrantedAuthority(role.get("authority"))).collect(Collectors.toList()); } public boolean validateToken(String token) { try { Jwts.parserBuilder().setSigningKey(getSecretKey()).build().parseClaimsJws(token); return true; } catch (JwtException | IllegalArgumentException e) { e.printStackTrace(); return false; } } public String resolveToken(HttpServletRequest req) { String bearerToken = req.getHeader("Authorization"); if (bearerToken != null && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` 最后,需要把上述过滤器类和提供者类添加到Spring Security的配置中: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenProvider jwtTokenProvider; @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() .authorizeRequests() .antMatchers("/api/v1/auth/login").permitAll() .anyRequest().authenticated() .and() .addFilterBefore(new JwtTokenAuthenticationFilter(jwtTokenProvider), UsernamePasswordAuthenticationFilter.class); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(12); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder()); } @Bean public UserDetailsService userDetailsService() { return new UserServiceImpl(); } } ``` 以上代码用来实现Spring Security校验JWT Token的功能,提供了创建Token、校验Token和获取Token中存储的用户和权限信息等相关方法。您可以根据您的实际需求进行修改和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值