SpringSecurity 退出登录/修改密码/重置密码 使JWT的token失效的解决方案

最新推荐文章于 2024-07-11 09:27:02 发布
最新推荐文章于 2024-07-11 09:27:02 发布
阅读量4.9k 收藏 8
点赞数 2
分类专栏: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenduo/article/details/114133964
版权

 

 

利用数据库,存放一个token过期的时间字段  private LocalDateTime expireTime;

用户进行 修改密码、重置密码、退出登录 的操作时   修改数据库中token过期的时间字段 expireTime

 

在创建token时,标注上创建的时间 .setIssuedAt(new Date())。

如果这个创建时间小于 数据库中token过期时间expireTime,就表示它是修改或者登出之前的token,为过期token

 

token创建时间>数据库中的token过期时间  === 抛出异常 token失效 

 

1.设置token的创建时间

2.方法拿到该token的创建时间

   /**
     *  token创建时间
     * @param token
     * @return
     */
    public  Date getCreateTime(String token){
        return getTokenBody(token).getIssuedAt();
    }

 

3.在JWT拦截器中 拿到该用户的信息后   拿到该用户 的token过期时间expireTime,然后与 该token的生成时间做比较,

如果该token生成的时间 在用户修改时间之前  则抛出去异常 。

到此旧的token就失效了  重新登录的时候 会生产新的token  新token的创建时间也会更新  拦截器到这里的时候 

这个创建时间肯定是在 更新时间之后的 自然就放行了。

代码中LocalDateTime 和Date 做了下格式转换 ,如果你定义的实体是Date 类型  直接用before 就可以了。

Date createTime = jwtUtils.getCreateTime(authToken); //token的生成时间
                    LocalDateTime updateTime = jwtUserDto.getUserEntity().getExpireTime();//修改密码/重置密码/退出登录 的时间
                    LocalDateTime createDate = createTime.toInstant().atOffset(ZoneOffset.ofHours(8)).toLocalDateTime();
                    if (null != updateTime) {
                        if (createDate.isBefore(updateTime)) {
                            throw new AccountExpiredException("token已经失效,请重新登录!");
                        }
                    }

 

 

奋斗⁹⁸
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
循序渐进学spring security 第十二篇 修改登录密码后如何让修改前的token失效
huangxuanheng的专栏
08-02 3009
文章目录回顾如何实现用户修改密码,之前的token失效?用户修改密码后,需要重新登录验证密码是否被修改测试功能 回顾 前面我们介绍了《循序渐进学spring security 第十篇 如何用token登录JWT闪亮登场》JWT 生成token的方式生成了登录凭证token,这样客户端只需要在请求接口上添加请求头token,服务端在过滤器中拦截并取出来token值,进行静默登录,但是有一个问题,不知道大家是否有留意到,如果用户修改密码,并且重新登录过系统,而此时,如果还是用以前的token,还能继续访
如何在修改密码修改权限、注销等场景下使JWT失效
wdj_yyds的博客
12-30 4637
大家好,我是不才陈某~ 今天这篇文章介绍一下如何在修改密码修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JW
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 2328
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求时会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同时登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此时就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
JWT (JSON Web Token) 立即失效
最新发布
HakuMaster的博客
07-11 1071
使一个 JWT (JSON Web Token) 立即失效可以通过多种方式实现,取决于具体的实现和系统需求。
Spring Security 实战干货:实现自定义退出登录
码农小胖哥
10-23 5140
1. 前言 上一篇对 Spring Security 所有内置的 Filter 进行了介绍。今天我们来实战如何安全退出应用程序。 2. 我们使用 Spring Security 登录后都做了什么 这个问题我们必须搞清楚!一般登录后,服务端会给用户发一个凭证。常见有以下的两种: 基于 Session 客户端会存 cookie 来保存一个 sessionId ,服务端存一个 Session 。...
Spring Security 退出登录
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
06-07 1239
这一篇就来讲讲如何退出登录的一些处理,包括如何退出登录Spring Security默认的退出处理逻辑以及退出登录相关的配置项。
SpringSecurity 退出登录使JWT失效解决方案
suchahaerkang的博客
09-27 6866
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
关于 SpringCloud oauth2 JWT 认证与授权解决用户信息变更token失效问题的解决(伪)
Tkzc_Yuan的博客
12-24 4615
解决jwt密码发生改变后使原token失效的问题(伪)
Jwt-Spring-Security-JPA:后端MVP使用Spring Security和MySQL JPA展示了具有多次登录,超时刷新注销(带有内存失效)的JWT(Json Web令牌)身份验证
04-30
Jwt-Spring-Security-JPA 一个演示项目,解释了使用Spring Security和MySQL JPA使用JWT(Json Web令牌)身份验证进行后端身份验证。 支持以下功能: 基于常规电子邮件/用户名的注册,并具有管理员支持 使用Spring ...
SpringSecurity+JWT认证流程解析
CXY_QIQI的博客
05-14 1267
楔子 本文适合:对Spring Security有一点了解或者跑过简单demo但是对整体运行流程不明白的同学,对SpringSecurity有兴趣的也可以当作你们的入门教程,示例代码中也有很多注释。 大家在做系统的时候,一般做的第一个模块就是认证与授权模块,因为这是一个系统的入口,也是一个系统最重要最基础的一环,在认证与授权服务设计搭建好了之后,剩下的模块才得以安全访问。 市面上一般做认证授权的框架就是shiro和Spring Security,也有大部分公司选择自己研制。出于之前看过很多Spring .
Spring Security--退出登录
我和井盖都笑了博客
04-05 417
退出登录       用户只需要向 Spring Security 项目中发送/logout 退出请求即可。 1 退出实现       实现退出非常简单,只要在页面中添加/logout 的超链接即可。       默认退...
退出登录 - SpringSecurity框架实现用户退出登录-附件资源
03-02
退出登录 - SpringSecurity框架实现用户退出登录-附件资源
SpringSecurity退出功能实现的正确方式(推荐)
08-25
本文将介绍在Spring Security框架下如何实现用户的"退出"logout的功能。本文通过实例代码讲解的非常详细,具有一定的参考借鉴价值,需要的朋友参考下吧
SpringSecurity 退出登录
Curtisjia的博客
10-31 3525
退出登录 Spring Security默认的退出登录URL为/logout,退出登录后,Spring Security会做如下处理: 是当前的Sesion失效; 清除与当前用户关联的RememberMe记录; 清空当前的SecurityContext; 重定向到登录页。 Spring Security允许我们通过配置来更改上面这些默认行为。 我们在Spring Security配置中添加如下配置: ...... .and() .logout() .logoutUrl("/logout"
SpringSecurity退出登陆
Leon_Jinhai_Sun的博客
06-06 921
SpringSecurity退出登陆
Java Spring Security 安全框架:(十六)退出登录
地球村
10-12 498
退出登录1.退出实现2.logout 其他常用配置源码解读2.1 addLogoutHandler(LogoutHandler)2.2 clearAuthentication(boolean)2.3 invalidateHttpSession(boolean)2.4 logoutSuccessHandler(LogoutSuccessHandler) 用户只需要向 Spring Security 项目中发送/logout 退出请求即可 1.退出实现 实现退出非常简单,只要在页面中添加/logout 的
SpringSecurity】十二、集成JWT搭配Redis实现退出登录
llg___的博客
09-03 1912
因为JWT的无状态,服务端无法在使用过程中主动废止某个 token,或者更改 token 的权限。也就是说,目前,一旦 JWT 签发了,就只能等它到过期时间才能作废,即使用户已经退出登录。③ 用户每次访问时,先校验jwt是否合法,如果合法再从redis里面取出logintoken:jwt判断这个jwt还存不存在,如果不存在就说是用户已经退出登录了。注意过期时间和jwt的过期时间保持一致,jwt过期时间可查看下创建jwt时的withExpiresAt方法。,key的过期时间和token自身过期时间一致。
jwt token注销_退出登录时怎样实现JWT Token失效
weixin_39634997的博客
12-19 8317
退出登录时,如果不使JWT Token失效会产生如下2个问题问题1-未过期的token还是可以用要是用户在多个设备登录了,而且本地保存了token。当一个地方丢弃token,但是这个token要是没有过期,那之前token还是可以用的。问题2-多个设备会出现死循环如果我把token存到数据库,当用户退出登录或者修改密码,更新token。当用户下次拿着之前的token来认证时,找到该用户数据库存的t...
Spring Security 重置密码
白石的专栏
12-20 2220
在本教程中—看看基本的我忘记了我的密码功能—以便用户可以在需要时安全地重置自己的密码
"JWT登录SpringSecurity:基础、进阶、高级及密码加密问题
其中,密码加密问题是实现JWT登录中重要的一环,而PasswordEncoder在Spring Security框架中则起着关键的作用。 一、密码加密问题 1. PasswordEncoder的作用 在Spring Security中,密码加密和校验是由...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值