循序渐进学spring security 第十二篇 修改登录密码后如何让修改前的token失效?

最新推荐文章于 2023-12-30 16:58:16 发布
最新推荐文章于 2023-12-30 16:58:16 发布
阅读量2.7k 收藏 14
点赞数 4
分类专栏: oauth2 文章标签: java jwt spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangxuanheng/article/details/119320233
版权

文章目录

回顾

前面我们介绍了《循序渐进学spring security 第十篇 如何用token登录?JWT闪亮登场》JWT 生成token的方式生成了登录凭证token,这样客户端只需要在请求接口上添加请求头token,服务端在过滤器中拦截并取出来token值,进行静默登录,但是有一个问题,不知道大家是否有留意到,如果用户修改了密码,并且重新登录过系统,而此时,如果还是用以前的token,还能继续访问系统,这对于系统安全性来说是不合理的

为什么会出现这样的问题?
因为我们在进行token验证的过程中,并没有验证密码是否已修改,因为token中我们也不会存储密码等敏感的数据,这样,我们拿到token解析出来也不会再进行密码的校验了,所以每次只需要携带有效的token,就能畅通无阻的访问各种有权限的资源了,这显然是一种安全隐患

如何解决这样的问题?
这就需要在token中添加多一个标识,这个标识,可以用密码通过MD5加密串为标识,这样,我们在服务端获取到token时,根据这个标识和当前登录用户的密码进行MD5加密比较,如果匹配,表示没有修改过密码,如果不匹配,则表示密码已经修改,需要重新登录才能访问

如何实现用户修改了密码,之前的token就失效?

用户修改密码后,需要重新登录

修改密码后需要重新登录,登录成功后,添加一个密码是否修改的标识,这个标识是一个将密码进行MD5加密的字符串,当然也可以其他的加密方式,只要能确保是通过密码生产出来的唯一标识即可,参考代码如下

public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        Object principal = authentication.getPrincipal();
        response.setContentType("application/json;charset=utf-8");
        PrintWriter out = response.getWriter();

        User user= (User) principal;
        //生成token
        Map<String, Object> claims=new HashMap<>();
        claims.put("username",user.getUsername());
        claims.put("authorities",user.getAuthorities());
        claims.put("enabled",user.isEnabled());
        claims.put("expiresIn",(System.currentTimeMillis()+expMillis));
        claims.put("passwordModifyTarget", MD5Util.MD5(MD5Util.MD5(user.getPassword())));

        String token = JWTUtils.getAccessToken(secret, claims);

        Map<String,Object>result=new HashMap<>();
        result.put("accessToken",token);
        out.write(JSON.toJSONString(result));
        out.flush();
        out.close();
    }

passwordModifyTarget 就是一个密码是否修改的标识字段

我这里将原始密码通过两次MD5算法作为标识,存到token里面,返回给前端,这样,后续前端请求后端接口时,只需要携带上这个token,后端就可以通过这个标识验证密码是否被修改过

验证密码是否被修改

在JwtAuthenticationTokenFilter 中的方法doFilterInternal获取到token后,进行校验

            UserDetails userDetails=null;
            if(SecurityContextHolder.getContext().getAuthentication() == null){
                //正常用户
                userDetails = userDetailsService.loadUserByUsername(username);
                if(userDetails!=null&&userDetails.isEnabled()){
                    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());

                    authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

                    //设置用户登录状态
                    log.info("authenticated user {}, setting security context",username);
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            }else {
                userDetails = (UserDetails) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
            }
            String passwordModifyTarget = (String) parseJWT.get("passwordModifyTarget");
            //校验是否修改过密码
            if(passwordModifyTarget==null||!passwordModifyTarget.equals( MD5Util.MD5(MD5Util.MD5(userDetails.getPassword())))){
                //密码已经修改,重置数据,重新登录
                SecurityContextHolder.getContext().setAuthentication(null);
            }
  • 首先,判断SecurityContextHolder.getContext().getAuthentication()是否为空,如果为空,表示用户在系统中还没有登录,则根据token中的用户名去数据库查询该用户,并赋值给userDetails,再进行静默登录,如果不为空,则直接取出来用户信息,并赋值给userDetails对象
  • 接下来就是从token中取出来passwordModifyTarget标识,将userDetails中的密码进行两次MD5加密后和passwordModifyTarget比较,如果匹配则表示没有修改过密码,否则就是已经修改过了密码,当前token是无效的,将登录用户置空,让用户重新登录

这样,我们就实现了当用户修改了密码,并且重新登录后,让之前的token失效的功能了

我是基于上一篇文章《循序渐进学spring security 第十一篇 如何动态权限控制URL?如何动态给用户添加权限?》的项目进行修改的,如果对于我本次的讲解看不懂的,可以先去看看之前的文章

测试功能

启动项目,用户登录后(密码是12345678),得到token,用token去访问接口能正常访问
在这里插入图片描述

此时,如果修改密码(密码123456),因为我这里没有前端,修改密码暂时都是用测试类生成,然后直接改数据库

 @Test
    public void testPasswordEncoder() {
        Map<String, PasswordEncoder> encoders = new HashMap<>();
        encoders.put("bcrypt", new BCryptPasswordEncoder());
        encoders.put("MD5", new MessageDigestPasswordEncoder("MD5"));
        encoders.put("SHA-256", new MessageDigestPasswordEncoder("SHA-256"));
        encoders.put("noop", NoOpPasswordEncoder.getInstance());
        DelegatingPasswordEncoder encoder1 = new DelegatingPasswordEncoder("bcrypt", encoders);
        DelegatingPasswordEncoder encoder2 = new DelegatingPasswordEncoder("MD5", encoders);
        DelegatingPasswordEncoder encoder3 = new DelegatingPasswordEncoder("SHA-256", encoders);
        DelegatingPasswordEncoder encoder4 = new DelegatingPasswordEncoder("noop", encoders);
        String e1 = encoder1.encode("123456");
        String e2 = encoder2.encode("123456");
        String e3 = encoder3.encode("123456");
        String e4 = encoder4.encode("123456");
        System.out.println("e1 = " + e1);
        System.out.println("e2 = " + e2);
        System.out.println("e3 = " + e3);
        System.out.println("e4 = " + e4);
    }

得到结果

e1 = {bcrypt}$2a$10$O2g6F.DEa8GLz7RobTfbKev7sjLgyKbzT/izfOlRoDNT60XsBbbvC
e2 = {MD5}{YTtn8Xm5S/lb2OXuisc2T0R5w6N1A8QkAwCEIkwsU9s=}543ac55d279d5370df3cb2ea165ddd01
e3 = {SHA-256}{T7ntQNE0oCuaw+sIMdHNvlQG/QRpN9n3O49tTEnbbPc=}c62032509e67e0a2377aa60d1a2661acee255125d8c024a63ad5c84e40318377
e4 = {noop}123456

我这里取e1的值作为密码,赋值到数据库中,然后重新登录
在这里插入图片描述
登录成功后,我还用原来的token来访问,此时,是访问失败的,说明我们修改密码已经成功了

在这里插入图片描述

这样,我们就完成了用户修改密码后,让之前的token失效的功能了。我案例中是直接生成密码,然后修改数据库的,这一点大家在项目中,要结合页面进行交互完成操作,修改完密码,如果不需要用户重新登录的话,修改完成后调用SecurityContextHolder.getContext().setAuthentication()接口重新保存用户登录信息就可以

好了,关于修改密码让token失效就介绍到这里,源码可以在《循序渐进学spring security 第十一篇 如何动态权限控制URL?如何动态给用户添加权限?》中下载

悬弧
关注
  • 4
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springsecurity安全框架案例+多页面登录+redis+token
12-08
Springsecurity安全框架案例+多页面登录+redis+token
SpringSecurity Jwt Token 自动刷新的实现
08-19
主要介绍了SpringSecurity Jwt Token 自动刷新的实现,文中通过示例代码介绍的非常详细,对大家的习或者工作具有一定的参考习价值,需要的朋友们下面随着小编来一起习吧
spring oauth2 让某个账号token过期
qq_34884729的博客
05-28 5967
终于要折腾oauth2了,感觉平常顺便玩玩还真没什么难度,但对于一些定制功能,什么N种账号类型,什么自定义返回体之类云云。浪费个几小时弄出下面一玩意,算是补充一下知识,在网上搜了一圈感觉也别人说--让某个账号token过期(带redis)。 打开工具看到那几个存在redis的令牌,顺便删一个,要不登录不了,要不访问不了,删不全就是麻烦,让他自己带token访问自己登出倒是简单,但对于管理权限系统...
多浏览器密码修改,账户Token全部失效解决方案
最新发布
weixin_58403235的博客
12-30 506
根据问题,可以得出token和用户必须关联,但同时每个token又需要区分开来。这里可以使用redis存储token。使用redis的string类型存储,key指定userId + token, value就指定token即可。在这里提供一个解决方案,这是我自己的看法,如果有其他方法或者有问题欢迎各位大佬在评论区指点出来。上面只解决了token的存储,如何删除所有关联的token还没有解决。登录校验就按正常的redis+token登录校验流程即可。这样就解决了token和用户即关联又能区分出来的问题。
springboot2 security-oauth2 搭建认证服务器、修改用户密码加密、修改用户权限认证
u013595395的博客
02-14 2014
一、搭建认证服务器 新建一个springboot2项目,加入以下两个配置类就可以启动服务器 1. AuthorizationServerConfiguration 主要有3个配置方法 (1)这边取消两个api的访问限制,以及允许将客户端的id、密码直接写入form表单 -- 客户端不是用户,是指第三方网站。代码中用client来代表客户端 (2)第二个方法,用来指定客户端的信息 (3)第三个方法用来配置token的存储位置 2.WebSecurityCon...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo包含服务端和客户端,可直接运行测试。
SpringSecurity实现后端分离登录token认证详解
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
Spring Security中使用token
热门推荐
超频化石鱼的博客
09-12 1万+
单点登录与多点登录 单点登录:同一个账号在同一时间只有一个token有效。一旦生成新的token,所有旧token失效。 多点登录:同一个账号在同一时间可多次登录,每次登陆都会获得一个token。这些token的有效期是隔离的,不受新生成token的影响。 对于token,若要实现单点登录,则必须将所有token保存在服务端。这实际上与token服务端不负责保存的本质相悖。若要实现单点登录,建议使用session。 下面将实现多点登录。 原理与思路 Spring Security的认证与授权是分开的:
SpringSecurity 退出登录/修改密码/重置密码 使JWTtoken失效的解决方案
fenduo的博客
02-26 4836
利用数据库,存放一个token过期的时间字段 private LocalDateTime expireTime; 在创建token时,标注上创建的时间.setIssuedAt(new Date())。 如果这个创建时间小于 (修改密码、重置密码、退出登录)操作的更新时间expireTime,就表示它是修改或者登出之前token,为过期token token创建时间>数据库中的token过期时间 ===抛出异常 token失效 1.设置token的创建时间 ...
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6483
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
Spring Security实现验证码登录功能
08-25
主要介绍了Spring Security实现验证码登录功能,文中通过示例代码介绍的非常详细,对大家的习或者工作具有一定的参考习价值,需要的朋友可以参考下
Spring-Boot结合Security+JWT 简单实现后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,端根据状态码进行重新登录;案例中的用户名称: jake_j,密码:123。用户、角色、及菜单权限都是代码中指定的,未实现查询数据库相关数据。正常开发需要和现有系统数据库结合,这里只是简单说明整体用户认证、授权流程逻辑说明。 仓库地址:https://gitee.com/JakeRhino/spring-security-jwt-demo
Spring Security实现多次登录失败后账户锁定功能
08-25
当用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。今天小编给大家分享Spring Security实现多次登录失败后账户锁定功能,感兴趣的朋友一起看看吧
循序渐进spring security 第十一 如何动态权限控制URL?如何动态给用户添加权限?
huangxuanheng的专栏
08-01 4222
文章目录回顾为什么要动态权限?如何更好的管理权限?数据库设计用户表定义角色表定义菜单表角色人员表角色菜单表如何实现动态权限管理?动态获取url权限配置权限判断搭建项目创建项目:security-mybatis-jwt-perm添加maven依赖:修改pom项目名和artifactId 都统一为:security-mybatis-jwt-perm新建数据库操作相关类和mapper创建实体类添加mybatis 的mapper.xml添加mapper接口动态权限配置动态获取url权限配置动态权限判断配置Secur
面试不要在说不熟悉spring security了,一个demo让你使劲忽悠面试官
huangxuanheng的专栏
07-24 2360
简单介绍 自动spring boot 出现以来,spring security 逐渐被流行起来,主要是spring security 一直是被定义为一个重量级的框架,但是spring boot出现以后,就不一样了,spring security 就逐渐变得简单了很多 做java已经有了多年,发现写了几年的项目,都还没有机会接触到spring security 相关的框架,直到2019年来到了一个公司,做企业数字化的公司,才开始对spring security 有一定的接触 spring security
循序渐进spring security 第十 如何用token登录JWT闪亮登场
huangxuanheng的专栏
07-31 2331
文章目录JWT简介JWT认证JWT的结构JWT登录流程如何引入JWTJwtHelper 工具类介绍如何创建token?如何解析token?创建项目创建项目:security-mybatis-jwt引入JWT maven依赖将登录成功,登录失败,登出等配置的handler抽取出来单独放在一个handler包创建JWT工具类登录成功后生产token返回给端如何校验token的有效性?验证失败的处理启动测试 JWT简介 JWT是 Json Web Token 的缩写。它是基于 RFC 7519 标准定义的一种可
[循序渐进spring security 第五,如何处理重定向和服务器跳转?登录如何返回JSON串?
huangxuanheng的专栏
07-25 2153
文章目录回顾后端分离的数据交互神器--JSON登录成功 successHandler 功能介绍登录失败 failureHandler 功能介绍未认证处理方案注销登录 回顾 之前在《循序渐进spring security 第三,如何自定义登录页面?登录回调?》中介绍了如何通过spring security 自定义登录页面和登录成功失败的回调的配置,可以根据配置指定的URL跳转页面,要么重定向,要么服务端跳转,如果对于spring security 自定义登录页面不熟悉的可以回去看看我之前的文章。但是在
生成springsecurity修改密码后需要将token失效java代码
05-24
Spring Security 中,我们可以使用 `TokenStore` 来管理 Token。当用户修改密码后,我们需要使之前Token 失效。可以通过以下代码实现: ```java @Autowired private TokenStore tokenStore; public void invalidateToken(String username) { Collection<OAuth2AccessToken> tokens = tokenStore.findTokensByClientIdAndUserName(null, username); for (OAuth2AccessToken token : tokens) { tokenStore.removeAccessToken(token); } } ``` 在上面的代码中,我们注入了一个 `TokenStore`,然后使用 `findTokensByClientIdAndUserName` 方法来查找该用户的所有 Token。最后,我们遍历 Token 并使用 `removeAccessToken` 方法将其删除。这样之前Token失效了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值