在更改密码和注销时使JWT无效的最佳做法?

最新推荐文章于 2024-05-28 00:15:00 发布
最新推荐文章于 2024-05-28 00:15:00 发布
阅读量9.2k 收藏 3
点赞数 2
分类专栏: java web 架构 文章标签: token session jwt失效 更改密码 注销
java 同时被 3 个专栏收录
95 篇文章 2 订阅
订阅专栏
架构
27 篇文章 1 订阅
订阅专栏
web
23 篇文章 0 订阅
订阅专栏

 

不使用刷新令牌时:

 

1. 更改密码时:当用户更改密码时,请注意用户数据库中的更改密码时间,因此当更改密码时间大于令牌创建时间时,令牌无效。因此可以很快将其它的会话也给注销掉。

2. 当用户注销时:当用户注销时,将令牌保存在单独的数据库中(例如:InvalidTokenDB并在令牌过期时从Db中删除令牌)。因此,用户从相应的设备注销,他在其他设备中的会话保持不受干扰。

因此,在使JWT无效时,我遵循以下步骤:

检查令牌是否有效。
如果有效,请检查它是否存在于invalidTokenDB(存储注销令牌的数据库中,直到其到期时间)。
如果它不存在,则更改用户db中的密码时间并检查令牌创建时间。
如果更改密码时间<令牌创建时间,则令牌有效。

对于每个api请求,我需要遵循上述所有步骤,这可能会影响性能。

 

使用刷新令牌时:

访问令牌到期为1天,刷新令牌作为终身有效性或更长周期。

1.更改密码时:当用户更改密码时,请更改用户的刷新令牌。因此剩余的会话很快就会被注销。

2.当用户注销时:当用户注销时,将令牌保存在单独的DB中(例如:InvalidTokenDB并在令牌过期时从Db中删除令牌)。因此,用户从相应的设备注销,他在其他设备中的会话保持不受干扰。

因此,在使JWT无效时,我遵循以下步骤:

检查令牌是否有效
如果有效,请检查令牌是否存在于InvalidTokenDB中。
如果不存在,请使用userDB中的刷新令牌检查刷新令牌。
如果等于,则为有效令牌。

对于每个api请求,我需要遵循上述所有步骤,这可能会影响性能。
如何使刷新令牌无效,因为刷新令牌没有效力,如果黑客使用它,仍然认证是有效的,请求将始终成功。

 

不使用刷新令牌且访问令牌没有到期时:

当用户登录时,在其用户数据库中创建一个没有到期时间的登录令牌。

因此,在使JWT无效时,请按照以下步骤操作,

检索用户信息并检查令牌是否在他的用户数据库中,如果允许的话。
用户注销时,仅从其用户数据库中删除此令牌。
当用户更改其密码时,从他的用户数据库中删除所有令牌并要求他再次登录。
因此,使用这种方法,您不需要在数据库中存储注销令牌,直到它们到期,也不需要在更改上述情况下所需的密码时存储令牌创建时间。但是这种方法只有在您的应用程序具有不需要刷新令牌并且令牌没有到期的要求时才有效。

 

其它链文:

Best practices to invalidate JWT while changing passwords and logout in node.js? [closed]

基于 session 和基于 token 的用户认证方式到底该如何选择?

Oauth的access token 安全么?

JWT在身份认证方面的应用

Cookie Session跨站无法共享问题(单点登录解决方案)

 

 

csdn-延
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
如何在修改密码、修改权限、注销等场景下使JWT失效?
wdj_yyds的博客
12-30 4552
大家好,我是不才陈某~ 今天这篇文章介绍一下如何在修改密码、修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JW
jwt token注销_退出登录怎样实现JWT Token失效?
weixin_39634997的博客
12-19 8255
退出登录,如果不使JWT Token失效会产生如下2个问题问题1-未过期的token还是可以用要是用户在多个设备登录了,而且本地保存了token。当一个地方丢弃token,但是这个token要是没有过期,那之前token还是可以用的。问题2-多个设备会出现死循环如果我把token存到数据库,当用户退出登录或者修改密码,更新token。当用户下次拿着之前的token来认证,找到该用户数据库存的t...
token主动失效的方案
lzf的博客
01-12 3176
众所周知,在 OAuth2 体系中认证通过后返回的令牌信息分为两大类:不透明令牌(opaque tokens)和透明令牌(not opaque tokens)。 不透明令牌 是一种无可读性的令牌,一般来说就是一段普通的 UUID 字符串。使用不透明令牌资源服务不知道这个令牌是什么,代表谁,需要调用认证服务器校验、获取用户信息。使用不透明令牌采用的是 中心化 的架构。 透明令牌 一般指的是我们常说的 JWT Token,用户信息保存在 JWT 字符串中,资源服务器自己可以解析令牌不再需要去认证服务器校..
使用JWT保护Web应用涉及到修改密码注销、token续签解决方案
binzai325的专栏
06-28 1477
1. 更改密码:当用户更改密码,请注意用户数据库中的更改密码间,因此当更改密码间大于令牌创建,令牌无效。因此可以很快将其它的会话也给注销掉。 2. 当用户注销:当用户注销,将令牌保存在单独的数据库(如redis)中(例如:InvalidTokenDB并在令牌过期从Db中删除令牌)。因此,用户从相应的设备注销,他在其他设备中的会话保持不受干扰。 3.token续签: 生成两个token,分别是access_token【过期间设置30分钟】、refresh_token【过期间设置3
PHP框架 之YII2框架 (yii2 framework - Yii PHP Framework)
masterphp的博客
05-28 991
yii2 framework - Yii PHP Framework框架,是一个高性能,基于组件的 PHP 框架,用于快速开发现代 Web 应用程序,特别适合开发大型应用,如门户网站、社区、内容管理系统(CMS)、电子商务项目和 RESTful Web 服务
关于JWT设置过期无效的问题
cn_ljr的博客
01-14 2781
关于JWT设置过期无效的问题
Spring Security整个JWT
liaojsgtcg的博客
05-11 295
JWT是一种加密方式 适合做集群 里面可以限定过期间,在用户登录后生成签名返回给用户,用户访问页面都携带JWT签名访问。 类似账号密码登录,区别在于: JWT只在限制间内使用有效,当前账号密码在你没有修改密码前有效。 这里整合不多说,找了几个通俗易懂的B站视频大家一起白漂 观看P15到P21 我写的有所不同,没有加入redis缓存 关键是做了一个角色授权 new UsernamePasswordAuthenticationToken(claims.getSubject(), "",grante.
详解用JWT对SpringCloud进行认证和鉴权
08-26
在使用JWT进行认证和鉴权,客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。...
SQLite数据库 ,实现本地、登录、注册、 修改、注销账号、记住密码
02-25
这通常通过生成一个长期有效的会话令牌(JWT或Cookie)来实现,存储在客户端,每次登录,客户端携带此令牌,服务器通过验证令牌来确认用户身份,而不是每次都要求输入密码。 3. **账号注销**: - **账号删除**:...
JWT+RSA 登录 注销 续租 请求 流程图 + 代码
10-28
在这个场景中,JWT+RSA通常用于构建安全的登录、注销、续租(刷新令牌)和请求流程。以下是这些概念的详细解释: 1. JWT(JSON Web Tokens): - JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。...
jwt简单的介绍和了解
10-27
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是...
wascap:在JWT中为WebAssembly模块嵌入,提取和验证功能声明
05-23
该库用于嵌入,提取和验证JSON Web令牌(JWT),其中包含这些功能证明,以及wasm文件的哈希和wasm发行者,用于验证模块来源。 如果要使用可让您签名和检查模块声明的CLI,则可以安装 CLI并使用wash claims命令集。...
localStorage和jwt的问题记录,取到本地缓存里面的信息展现在页面上
qq5678574的博客
01-27 385
在调用登录接口后,把得到的user数据都用localStorage存到本地,用setItem。 然后在request.js里面,用getItem取到它。(注意格式,把他从字符串转为对象) 这是user的返回结果,userObj.jwt 这样取到jwt ps:userObj是user转换为对象 所以呢,在登录进来后的首页,就可以再次通过本地存储里的缓存去到user里面的信息,包括要展示的name,或者phone。 这样user.name就可以在页面展示出来。 ...
JWT的问题研究和解决方案
养码一生
07-09 689
对于Jwt认证协议来说,本身作为一种轻量级的的认证协议有很大的优势和使用场景,但是由于自己实现的局限性,导致了接下来的一些问题。 1. 续签 2.改密 3.退出 4.签名过期 等问题
如何使JWT失效
T1058253468的博客
07-10 9057
关于使JWT失效问题问题解决思路 最近在弄app接口,使用到JWT来管理token,关于JWT的优点,已经有很多博客介绍了,这里就不啰嗦了,讲一下我碰到的问题及解决方法. 问题 旧token不在服务器端存储,如何使其失效? 解决思路 用户表维护一个登录间字段lastLoginDate,每次登录,退出,修改密码都更新此字段, 然后jwt生成有个签发间,根据签发间比对登录间,如果签发间...
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6698
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
jwt退出登录/修改密码如何使原来的token失效
热门推荐
乾坤未定,你我皆是黑马
11-20 1万+
其实前端删掉这个Token不就行了吗(小声bb 不行,这样即使退出登录后拿着以前的token还是可以访问到。 看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢? 既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。 第一种办法: 登录第一次生成token,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退出登录,删掉数据...
JWT-无状态方案处理
qq_40384690的博客
03-06 1416
1.JWT的优势在于无状态,如果非要结合redis等相关nosql来进行一些方案的处理,我觉得是没有必要的。这样还不如直接使用session集群。 2.那么针对JWT就会有几个问题 (1)退出登录,需要把token无效化 (2)修改密码,需要把token无效化 (3)单用户登录,需要进行判断 其实(1)(2)是属于差不多的类型。 这两种情况的处理就比较相似了。 那么我们首先考虑jwt...
JWT的加密解密原理,token登出、改密失效、自动续期
u013733643的博客
03-13 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问,需要携带token,服务端获取token后再去数据库获取token做校验。 JWT的token认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 2. jwt的token加密解密过程 2.1 生成
JWT是什么?如何生成和验证JWT
最新发布
05-29
JWT(JSON Web Token)是一种用于身份验证的开放标准,它可以在网络应用间传递声明,以便于安全地传输用户数据。JWT通常用于在身份验证和授权过程中,作为API的令牌。它是由三部分组成的字符串,分别是:头部(Header)、载荷(Payload)和签名(Signature)。其中头部和载荷都是使用Base64Url编码的JSON字符串,而签名则是由头部、载荷和一个密钥组成的哈希值。 JWT的生成和验证过程如下: 生成JWT: 1. 创建一个包含用户信息的JSON对象,并将其编码为Base64Url格式的字符串,作为载荷部分。 2. 创建一个包含算法信息的JSON对象,并将其编码为Base64Url格式的字符串,作为头部部分。 3. 将头部和载荷以点号连接起来,形成未签名的JWT字符串。 4. 使用密钥对未签名的JWT字符串进行签名,生成签名部分。 5. 将签名与未签名的JWT字符串以点号连接起来,形成最终的JWT字符串。 验证JWT: 1. 从JWT字符串中分离出头部、载荷和签名三个部分。 2. 使用头部中指定的算法和密钥对未签名的头部和载荷进行签名,生成一个新的签名值。 3. 将新生成的签名值与原有的签名值进行比较,如果相同,则说明JWT验证通过,否则验证失败。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值