JWT 的退出登录方法

已于 2022-06-12 16:45:03 修改
阅读量1w 收藏 23
点赞数 3
分类专栏: nodejs Javascript 文章标签: 前端 JWT
于 2020-10-29 00:14:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/henryhu712/article/details/109348800
版权

JWT 登录之后,服务器发放 token。在到期时间之前,token 一直有效,那么如何才能实现用户登出(让 token 失效)?

黑名单校验

凡是退出登录的token都放入黑名单中,定期清理。

每次用户请求服务器都校验token是否在黑名单

版本号校验

访问时从token中取出版本号和用户id 和 redis中存储 用户id和版本号 做对比,不一致则不给访问。

用户登出的时候在redis中把用户版本号加一。

过期时间校验

登录时token附带创建时间。访问时校验redis存储的过期时间,如果创建时间大于过期时间则不给访问。

Token副本校验

在redis中存储token副本,用户请求时候校验,如果redis中不存在该副本则不给通过。

无为而治

只让前端清理token,后端不理会。(大多数)

前端清理cookie:

document.cookie = "cookiename=; path=/; expires=Thu, 01 Jan 1970 00:00:00 GMT"

大体方案

分而治之

对于需要只有一个人一个终端登录的服务采用 【版本号校验】 解决方案

相当于乐观锁,但是是用redis来实现,速度快,还方便踢人下线

对于需要注销token的服务,采用 【Token副本校验 or 过期时间校验】解决方案

比查阅黑名单列表还要快得多

速度相当快

对于不需要注销token(大部分服务),则采用 【无为而治】解决方案

完美的JWT登录的使用方式

来源:https://blog.csdn.net/a1098766713/article/details/102914354

亮子AI
关注
  • 3
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
3-3. SpringBoot项目集成【用户身份认证】实战 【全流程篇】基于JWT+双重检查的登录+登出+拦截器
天罡gg的专栏
04-03 2589
书接上文 实战核心篇,我们已经把JWT的核心代码实现了! 文中不止是代码实现,更是使用到了设计原则,提升大家的内功心法。并且抛转引玉的实现了RSA和HMAC两种算法,还没看过的同学,建议先看上文。所以对于基于JWT的Token用户身份认证机制来说,剩下的就是与接口结合起来,服务端需要做三部分处理:登录接口,生成JWT,返回给前端。其它接口,校验JWT。如果每个接口在调用前都去调用一下校验Token,对接口的侵入性太强,这显然不是我们期望的。这时,我们可以使用拦截器对请求进行拦截实现。登出接口,目的是能主动退
JWT认证及登录功能实现,退出登录
pink_Pig___的博客
07-12 1944
JWT认证及登录功能的实现
SpringBoot和vue3实现登录退出【用jwt redis 拦截器..】
最新发布
hac1322的博客
05-18 815
后端可以记录每个用户发送验证码的时间戳。如果用户在短时间内发送多次验证码请求,后端可以检查最新的请求时间戳与上次请求时间戳的间隔,如果间隔时间太短,就拒绝处理额外的请求。:在前端实现点击发送验证码按钮后,禁用按钮一段时间,防止用户连续点击发送。可以在发送验证码后,将按钮禁用一段时间,以防止用户误操作多次点击发送。功能,并使用拦截器、JWT和Redis缓存来提高系统的安全性和性能。发送验证码,可能不小心点了两下等重复提交操作。像登录页面的路径就不要拦截了,否则都不能登录了。
Jwt退出登陆
qq_40369277的博客
09-24 1384
我们之前可以使用退出登录接口直接退出,用户Session中的验证信息也会被销毁,但是现在是无状态的,用户来管理Token令牌,服务端只认Token是否合法,那这个时候该怎么让用户正确退出登录呢?这里我们以黑名单机制为例,让用户退出登录之后,无法再次使用之前的JWT进行操作,首先我们需要给JWT额外添加一个用于判断的唯一标识符,这里就用UUID好了。首先我们从最简单的方案开始,我们可以直接让客户端删除自己的JWT令牌,这样不就相当于退出登录了吗,这样甚至不需要请求服务器,直接就退了。
Jwt登录退出
10000guo的博客
06-09 1350
【代码】Jwt登录退出
JWT的登出
一边工作一边考研
10-22 3267
场景: 用户在登录系统后,想要登出这个系统; JWT有一个过期时间, 但是token还没有失效,应该怎么实现JWT的登出呢? 使用zuul+redis的方案来实现 第三方应用向网关发送请求获取token 网关把请求发送给授权服务器 授权服务器把token发给zuul zuul把token发送给第三方应用,并且把token存放在redis中 第三方应用再次访问资源服务器,此次携带了token,...
Blazor JWT登录退出身份控制定时检测账户管理示例项目
03-20
2、定时检测:使用JWT功能,包括生成和验证jwt,可定义jwt生效时长、验证时间间隔,失效后自动转到登录页面。 3、账户管理:包括添加、编辑、离职管理示例。 本项目只在提供示例功能演示,力求简单明了和安全稳定...
Java令牌Token登录退出的实现
08-19
在Java令牌Token登录退出的实现中,通常使用Java-JWT库来生成和验证令牌。Java-JWT库提供了一个轻量级的JWT实现,支持多种算法和签名机制。 下面是一个使用Java-JWT库生成令牌的示例代码: ```java public class...
JWT项目中用法
08-08
JWT原理:对登录和注册方法放行,用户名和密码验证正确后,服务端保存到redis缓存并设置有效期,返回给客户端userid和sessionid, 客户端自行保存(Cookie或者 h5的localStorage)。 其他接口统一拦截(header里的...
SpringBoot 使用jwt进行身份验证的方法示例
08-26
1. 退出登录困难:在使用jwt token时,退出登录变得困难,因为jwt token的过期时间是固定的,无法实时地退出登录。 2. 安全性风险:jwt token的加密机制如果不是非常安全,可能会被破解,从而导致身份信息泄露。 ...
Java 多用户登录限制的实现方法
09-01
- **登录方法**:在`login`方法中,首先调用`limiteLogin.loginLimite(request, userName)`检查用户是否已经在线,如果是,则移除旧的会话。然后,验证用户名和密码,如果成功,将用户信息存入session,并创建JWT...
【SpringSecurity】十二、集成JWT搭配Redis实现退出登录
llg___的博客
09-03 1799
因为JWT的无状态,服务端无法在使用过程中主动废止某个 token,或者更改 token 的权限。也就是说,目前,一旦 JWT 签发了,就只能等它到过期时间才能作废,即使用户已经退出登录。③ 用户每次访问时,先校验jwt是否合法,如果合法再从redis里面取出logintoken:jwt判断这个jwt还存不存在,如果不存在就说是用户已经退出登录了。注意过期时间和jwt的过期时间保持一致,jwt过期时间可查看下创建jwt时的withExpiresAt方法。,key的过期时间和token自身过期时间一致。
如何使用jwt 完成注销(退出登录)功能
weixin_39813433的博客
01-03 1万+
原文 神奇的 JSON Web Tokens(JWT) JSON Web Tokens (JWT) 是一种无状态处理用户身份验证的方法。 什么意思? JWT帮助建立认证机制而不将身份验证状态存储在任何存储中,无论是会话内存还是数据库,因此, 当检查用户的身份验证状态时,不需要访问会话内存或执行数据库查询。相反, 根据你选择的用户payload生成token 并在客户端的请求中使用它来标识服务器上的用户 ???? 因此,基本上,每当创建token时,就可以永远使用它,或者直到它过期为止。 JWT生成器可以
nodejs登录生成token并验证
^_^
08-09 3014
开发者向 API 提供商注册应用程序,并获得一个 API 令牌,以便在应用程序中进行身份验证和授权,以访问和使用 API 提供的功能和数据。身份验证:在身份验证过程中,用户提供凭据(如用户名和密码),服务器验证凭据的有效性后会颁发一个身份验证令牌给用户。这个令牌可以是一个长期有效的持久令牌,也可以是一个短期有效的临时令牌,用于后续的请求中证明用户的身份。它可以是一个字符串、数字或其他形式的数据。验证后会把数据返回出来,就可以当时生成token传过去的数据,有了数据那么我们就可以自行获取用户信息。
JWT 的登出问题
Leon_Jinhai_Sun的博客
05-31 1161
Jwt 使用起来不难,而且让我们将“无状态”的概念更贴切的展示出来了,但是实践就真的这么完美吗?不是,因为jwt 的登出问题。 何为登出:就是用户自己点击登出后,或用户的角色/权限改变后,该token 仍然是有效的。你可以选择在前端清除该token,但是,如果用户是有技术背景的黑客呢?之前的token他保存一边,在没有过期(时间过期)时,他仍然可以使用该token。 解决方案: 登出怎么做?聪明的你是否有答案吗? 就是删除该用户存储在redis 里面登录的token 数据,so easy 。
jwt退出登录的解决方案
热门推荐
C4Z的博客
11-05 3万+
jwt退出登录 前言 JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。 { "姓名": "张三", "角色": "管理员", "到期时间": "2018年7月1日0点0分" } 以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。 服务器就...
Spring Security中利用JWT退出登录大部分人都写错了配置
码农小胖哥
10-14 2256
最近有个粉丝提了个问题,说他在Spring Security中用JWT退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误...
jwt 退出登录 TP6
07-28
在 ThinkPHP 6 中,如果要实现 JWT退出登录功能,你可以按照以下步骤进行操作: 1. 首先,你需要在 `config/jwt.php` 配置文件中设置 JWT 的相关配置,包括密钥、有效期等。 2. 创建一个名为 `Logout` 的控制器,在该控制器中定义一个名为 `index` 的方法,用于处理退出登录的逻辑。在该方法中,你可以执行一些清除用户登录状态的操作,例如删除对应的 JWT token。 ```php <?php namespace app\controller; use think\facade\Request; use think\facade\Cache; use think\jwt\facade\JWTAuth; class Logout { public function index() { $token = Request::header('Authorization'); JWTAuth::invalidate($token); // 使 token 失效 // 清除其他相关的用户登录状态 // ... return ['code' => 200, 'msg' => '退出登录成功']; } } ``` 3. 在路由中定义对应的访问规则,将 `/logout` 请求指向 `Logout` 控制器的 `index` 方法。 ```php // 路由定义示例 Route::post('/logout', 'Logout/index'); ``` 这样,当你发送 POST 请求到 `/logout` 路径时,会执行 `Logout` 控制器的 `index` 方法,实现 JWT 退出登录的功能。 请注意,以上代码仅供参考,你还需要根据你的实际业务逻辑进行相应的调整和完善。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值