JWT后台实现旧Token失效的问题(添加黑名单方式)

最新推荐文章于 2024-07-11 09:27:02 发布
最新推荐文章于 2024-07-11 09:27:02 发布
阅读量5.9k 收藏 4
点赞数
分类专栏: 数据类型 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gcglhd/article/details/110388880
版权

背景:   在开发设计中涉及到JWT的校验问题,但是发现一个漏洞同时也是JWT设计的理念,那就是后端不进行相关的Token存储,后端只进行相关的Token验证,同时还有就是token的生成和刷新,那么问题来了,那就是后端校验不会知道是否是最新的token

也就是说,可能已经刷新过了token,但是发现旧的token还没过期,这个时候还可以进行使用,在我看来还是有安全风险的,我想要的设计是用户退出登录或者刷新Token后,旧的token要立即失效,这样才够安全,不然一旦被黑客拿到旧的token,那么它就可以利用旧的token一直刷新使用,

后果很严重。

 

设计的理念:  添加Redis作为黑名单进行绑定,旧的Token,设计理念借鉴了下面博客:

https://blog.csdn.net/weixin_39851884/article/details/104825253

下面是我设计的具体的流程图:(不过我没有考虑旧的token过期时间问题,所以也可以进行对存储在Redis中的数据进行相关的时间设定,也就是旧的token过期时间到了,redis中的数据自动清除,这样也可以对Redis进行相关的维护,不然时间越长Redis的压力越大。)

具体的实现:(login登录就不做处理了,因为就是正常的获取Token的业务,很简单,如果没有基础可以参考我之前的博客)

      主函数注册API接口并启动服务器

func main() {
	r := gin.Default()
	r.GET("/login", login)
	r.GET("/refresh", refresh)
	r.GET("/sayHello", sayHello)
	r.Run(":9090")

	//测试URL实例
	//http://localhost:9090/login?username=dong&password=123456
	//http://localhost:9090/verify?token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NjA1MTIyMTAsImlhdCI6MTU2MDUwODYxMCwidXNlcl9pZCI6MSwicGFzc3dvcmQiOiIxMjM0NTYiLCJ1c2VybmFtZSI6ImRvbmciLCJmdWxsX25hbWUiOiJkb25nIiwicGVybWlzc2lvbnMiOltdfQ.Esh1Zge0vO1BAW1GeR5wurWP3H1jUIaMf3tcSaUwkzA
	//http://localhost:9090/refresh?token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NjA1MTIyNDMsImlhdCI6MTU2MDUwODYxMCwidXNlcl9pZCI6MSwicGFzc3dvcmQiOiIxMjM0NTYiLCJ1c2VybmFtZSI6ImRvbmciLCJmdWxsX25hbWUiOiJkb25nIiwicGVybWlzc2lvbnMiOltdfQ.Xkb_J8MWXkwGUcBF9bpp2Ccxp8nFPtRzFzOBeboHmg0
}

       以刷新token,让旧Token失效的方式(退出登录的方式相同,这里面对redis存储的数据进行了时间的处理,也就是会根据过期时间将数据彻底清空掉)

/**
 * @Description: 功能描述(刷新JWT的token)
 * @Date : 2020/11/12
 */
func refresh(c *gin.Context) {
	strToken := c.Query("token")
	claims, err := verifyAction(strToken)
	if err != nil {
		c.String(http.StatusNotFound, err.Error())
		return
	}
	// 获取失效时间,填充到Redis中。
	a := int(claims.ExpiresAt - time.Now().Unix())  //剩余过期时间
	utils.Set(strToken, "1", a)  //存在Redis中的数据,对应的过期时间为:a表示秒
	claims.ExpiresAt = time.Now().Unix() + (claims.ExpiresAt - claims.IssuedAt) // 失效的时间
	signedToken, err := getToken(claims)
	if err != nil {
		c.String(http.StatusNotFound, err.Error())
		return
	}
	c.String(http.StatusOK, signedToken)
}

     具体的业务实现:(会进行判断Redis中的是否存在该数据,如果不存在则表明没有加入黑名单,否则就是加入了黑名单)

/**
 * @Description: 功能描述(业务测试,用于真正的开发业务验证是否用户合法,然后执行Hello业务)
 * @Date : 2020/11/12
 */
func sayHello(c *gin.Context) {
	strToken := c.Query("token")
	fmt.Println("token=", strToken)
	flag := utils.GetStringValue(strToken)
	fmt.Println("flag =", flag)
	if flag == "1" {
		c.JSON(http.StatusBadRequest, errors.New(ErrorReason_ReLogin))
		c.Abort()
		return
	}
	claim, err := verifyAction(strToken)
	if err != nil {
		c.String(http.StatusNotFound, err.Error())
		return
	}
	if claim.Role == "admin" {
		fmt.Println("该用户是管理员可以执行相关的业务")
		fmt.Println("--------------执行Hello业务--------------")
	}

	c.JSON(http.StatusOK, claim)
}

 

gcglhd
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6850
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
jwt token注销_退出登录时怎样实现JWT Token失效
weixin_39634997的博客
12-19 8309
退出登录时,如果不使JWT Token失效会产生如下2个问题问题1-未过期的token还是可以用要是用户在多个设备登录了,而且本地保存了token。当一个地方丢弃token,但是这个token要是没有过期,那之前token还是可以用的。问题2-多个设备会出现死循环如果我把token存到数据库,当用户退出登录或者修改密码,更新token。当用户下次拿着之前token来认证时,找到该用户数据库存的t...
JWT (JSON Web Token) 立即失效
最新发布
HakuMaster的博客
07-11 1024
使一个 JWT (JSON Web Token) 立即失效可以通过多种方式实现,取决于具体的实现和系统需求。
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 2282
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求时会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同时登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此时就要将登出的那个token单独处理;1,加入黑名单方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
tp6官方jwt---Token认证
Follow_found的博客
01-03 4715
tp6jwt:JWT-AUTH · tp6-jwtauth · 看云https://www.kancloud.cn/sfzl/tp6-jwtauth/2481656 第一步安装: composer require thans/tp-jwt-auth 第二步安装扩展: php think jwt:create 此举将生成jwt.php和.exe文件,jwt.php里可以更改配置信息(app/config/jwt.php)比如jwt过期时间. return [ 'secret'
SpringCloud Alibaba 实战 - 如何让 jwt token 主动失效
wdjnb的博客
01-19 3751
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效问题?修改密码或退出登录后需要将之前jwt token失效掉,不允许使用token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud al
jwt退出登录/修改密码时如何使原来的token失效
乾坤未定,你我皆是黑马
11-20 1万+
其实前端删掉这个Token不就行了吗(小声bb 不行,这样即使退出登录后拿着以前的token还是可以访问到。 看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢? 既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。 第一种办法: 登录第一次生成token时,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退出登录时,删掉数据...
解决接口测试中token失效问题
热门推荐
与君共勉
05-28 8万+
接口测试中我们经常是从登录接口获取token,其他的接口在header中传入新的token才可以正确发送请求。所以在做接口自动化测试时,我们不能将token写死,而是应该每次请求就重新获取新的token,以保证接口请求可以正常得到正确的返回值。 我的解决思路是:在每次发送带token的请求接口前,先调用登录接口获取token,然后将该值更新到需要测试的接口头文件中。 根据post请求的两种最常...
SpringBoot使用JWT集成Ng-Alain之Token失效处理
helloworld的专栏
11-29 3033
在 SpringBoot使用JWT集成Ng-Alain中,我们简单介绍了SpringBoot与Ng-Alain的集成,在这种前后端分离框架实践中,我们使用了JWT来接口安全标识,考虑一个问题,从整个系统的业务实际来看,当Token过期失效之后,我们需要用户重新登录以获取新的Token。在我们的代码实现中,当用户未获取正确的Token或者当Token失效时候,抛出403异常。 因此,我们需要修改N...
asp.net core 集成JWT(二)token的强制失效,基于策略模式细化api权限
weixin_30713953的博客
06-14 1610
【前言】   上一篇我们介绍了什么是JWT,以及如何在asp.net core api项目中集成JWT权限认证。传送门:https://www.cnblogs.com/7tiny/p/11012035.html   很多博友在留言中提出了疑问: 如何结合jwt认证对用户进行API授权? token过期了怎么办? 如何自动刷新token? 如何强制token失效? 如何应...
ThinkPHP6+JWT 中间件校验Token时效性
07-23 1986
一、涉及到的知识点 接口验签安全机制封装到服务层 接口调用须使用验签 接口验证封装到中间件 二、下载ThinkPHP6.0框架 如果你是第一次安装的话,在命令行下面,切换到你的WEB根目录下面并执行下面的命令: composer create-project topthink/think tp 出现Succeed!则安装框架成功 三、安装JWT扩展 建议使用composer安装 方便 快捷,切到项目目录下运行以下命令 composer require firebase/php-jwt 出现Succ
Laravel (Lumen) 解决JWT-Auth刷新token问题
10-16
在Laravel (Lumen)框架中实现JWT-Auth刷新token问题及解决方案是我们要探讨的知识点。首先,需要理解在Laravel (Lumen)中使用JSON Web Tokens (JWT)作为认证机制时,用户可以通过JWT获取资源,但每次的访问都必须...
基于springboot+jwt实现刷新token过程解析
08-19
本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于SpringBoot+JWT实现刷新Token的过程,旨在为读者提供...
spring boot+jwt实现api的token认证详解
08-26
在本文中,我们将深入探讨如何使用Spring Boot和JWT(JSON Web Token)来实现API的Token认证。JWT是一种轻量级的身份验证和授权机制,它允许应用程序在客户端和服务器之间安全地传输信息,而无需在每次请求时进行...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
springboot整合JWT框架,解决Token验证问题
06-24
2、存在问题 1、session保存在服务端,客户端访问高并发时,服务端压力大。 2、扩展性差,服务器集群,就需要 session 数据共享。 二、JWT简介 JWT(全称:JSON Web Token),在基于HTTP通信过程中,进行身份认证。 1...
结合 JWT 与 Refresh Token 达到黑名单失效机制
weixin_39720414的博客
09-07 494
当php启动时、会去寻找php.ini、进行环境的初始化,如果不使用FastCGI的情况下,每一个请求都会做这个动作,很明显浪费系统资源,所以FastCGI会先启动一个master,解析配置文件用,接下来再启动worker,当请求过来时、master会递资讯给worker,然后接下来等下一个请求,有这个机制就不用每一次重新跑一次初始化的动作了。所以最后才会造成如果修改php.ini档案之后,才需要重新启动php-fpm,原因就是这个样子。Fastcgi是一个协议,其实是php-fpm实现了这个协议。
Asp.Net Core中JWT刷新Token解决方案
极客神殿
12-23 3207
Asp.Net Core中JWT刷新Token解决方案
解决使用jwt刷新token带来的问题
一万年太久 - 只争朝夕
06-15 3万+
前后端分离,使用token方式校验用户信息,我选择了jwt,使用的教程在网上可以找到很多,不做介绍。 这里说明一个使用过程中,最重要的的一个环节刷新token带来的问题。 业务要达到的目标: 用户登录一次之后,前端保存token,后面每次向后端请求的时候,header都带上authorization信息,后端从请求中解析token,根据token验证用户信息,返回相应的信息。 相信大部分...
jwt实现token销毁
07-27
JWT实现token销毁的方式有几种方法。一种常见的方法是将token存储在服务器端的黑名单中。当用户注销或需要销毁token时,将该token添加黑名单中。在每次请求时,服务器会检查token是否在黑名单中,如果是,则拒绝该请求。这种方法需要服务器维护一个黑名单列表,并增加一些额外的逻辑来检查token的有效性。\[2\] 另一种方法是使用token的过期时间来实现销毁。在生成token时,可以设置一个过期时间,一旦token过期,它将自动失效。这样,即使token被保留在客户端,一旦过期,它也无法再被使用。这种方法不需要服务器维护黑名单列表,但需要在生成token时设置合适的过期时间。\[3\] 需要注意的是,JWT本身是无状态的,它不提供直接的注销功能。因此,实现token销毁需要额外的逻辑和控制。具体的实现方式可以根据具体的需求和系统架构来选择。 #### 引用[.reference_title] - *1* [SpringBoot集成JWT实现token验证,token注销](https://blog.csdn.net/yangyangye/article/details/117445245)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [如何使用jwt 完成注销(退出登录)功能](https://blog.csdn.net/weixin_39813433/article/details/122287823)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值