系统安全功能:系统退出后令牌失效

已于 2024-01-22 15:31:11 修改
阅读量533 收藏 7
点赞数 7
分类专栏: 安全架构 文章标签: java web安全 安全
于 2024-01-19 15:07:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46464597/article/details/135698399
版权

系统安全功能:系统退出后令牌失效

在现代Web应用中,用户退出系统是一个基本功能,然而,如何确保退出后的令牌不再有效,是系统安全性的一个关键问题。本文将介绍如何通过在用户退出时将JWT令牌加入黑名单,以及在后续请求中验证令牌的有效性,构建系统的双层安全机制,有效应对令牌滥用的风险。

背景

Web应用中的用户认证一般依赖于JWT令牌,它是一种轻量级的身份验证方式。然而,一旦用户退出系统,之前的令牌理论上仍然是有效的,这可能导致一些潜在的安全问题。因此,我们需要一种机制来确保退出后的令牌不再被接受,提升系统的整体安全性。

需求

实现用户安全退出功能。
使退出后的JWT令牌失效,防止滥用。

分析与设计

为了满足上述需求,我们将采用以下方案:

1、将JWT令牌加入黑名单:
在用户退出系统时,获取JWT令牌的ID。
将令牌ID存储到Redis中,构建黑名单。
设置与JWT令牌相同的失效时间,保证黑名单中的令牌会在一定时间后自动清理。

2、验证JWT令牌的有效性:
在每次请求中,获取JWT令牌的Claims。
检查用户对象、Claims对象以及令牌ID是否不为空。
构建黑名单中的key,通过Redis验证令牌是否在黑名单中。
如果在黑名单中,拒绝请求处理。

核心代码

将JWT令牌加入黑名单

// 新增将JWT令牌加入黑名单操作,并设置相同的失效时间
Claims claims = SecureUtil.getClaims(Objects.requireNonNull(request));
if (ObjectUtil.isNotEmpty(claims)) {
    Date expiration = claims.getExpiration();
    DateTime now = DateTime.now();
    long seconds = cn.hutool.core.date.DateUtil.between(now, expiration, DateUnit.SECOND);
    String id = claims.getId();
    String ExpIdKey = TokenConstant.EXP_ID + ":" + userId + ":" + id;
    redisTemplate.opsForValue().set(ExpIdKey, id);
    redisTemplate.expire(ExpIdKey, seconds, TimeUnit.SECONDS);
}

验证JWT令牌是否有效

// 拦截器中 校验黑名单
Claims claims = SecureUtil.getClaims(request);
if (user != null && claims != null && StringUtil.isNotEmpty(claims.getId())) {
    String key = TokenConstant.EXP_ID + ":" + user.getUserId() + ":" + claims.getId();
    String jit = redisTemplate.opsForValue().get(key);
    if (claims.getId().equals(jit)) {
        log.debug("令牌已失效");
        failBack(resp);
        return false;
    }
}

扩展

通过这种双层安全机制,我们可以进一步扩展系统的安全性:

  • 定时任务清理过期令牌: 使用定时任务定期清理黑名单中的过期令牌,确保黑名单不会无限增长。
  • 基于角色或权限的失效策略: 根据用户的角色或权限,实现更精细化的令牌失效策略。
  • 结合双因素认证: 在令牌验证前加入双因素认证,提升系统的身份验证层级。

总结

通过构建系统的双层安全机制,我们有效地应对了用户退出后令牌的滥用风险。这种机制简单而强大,为Web应用提供了额外的安全保障,使用户退出更具安全性。

季同学 `
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt token注销_退出登录时怎样实现JWT Token失效
weixin_39634997的博客
12-19 8317
退出登录时,如果不使JWT Token失效会产生如下2个问题问题1-未过期的token还是可以用要是用户在多个设备登录了,而且本地保存了token。当一个地方丢弃token,但是这个token要是没有过期,那之前token还是可以用的。问题2-多个设备会出现死循环如果我把token存到数据库,当用户退出登录或者修改密码,更新token。当用户下次拿着之前的token来认证时,找到该用户数据库存的t...
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6866
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
SpringSecurity 退出登录/修改密码/重置密码 使JWTtoken失效的解决方案
fenduo的博客
02-26 4982
利用数据库,存放一个token过期的时间字段 private LocalDateTime expireTime; 在创建token时,标注上创建的时间.setIssuedAt(new Date())。 如果这个创建时间小于 (修改密码、重置密码、退出登录)操作的更新时间expireTime,就表示它是修改或者登出之前的token,为过期token token创建时间>数据库中的token过期时间 ===抛出异常 token失效 1.设置token的创建时间 ...
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 2328
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求时会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同时登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此时就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
Jwt退出登陆
qq_40369277的博客
09-24 1487
我们之前可以使用退出登录接口直接退出,用户Session中的验证信息也会被销毁,但是现在是无状态的,用户来管理Token令牌,服务端只认Token是否合法,那这个时候该怎么让用户正确退出登录呢?这里我们以黑名单机制为例,让用户退出登录之后,无法再次使用之前的JWT进行操作,首先我们需要给JWT额外添加一个用于判断的唯一标识符,这里就用UUID好了。首先我们从最简单的方案开始,我们可以直接让客户端删除自己的JWT令牌,这样不就相当于退出登录了吗,这样甚至不需要请求服务器,直接就退了。
jwt退出登录的解决方案
C4Z的博客
11-05 3万+
jwt退出登录 前言 JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。 { "姓名": "张三", "角色": "管理员", "到期时间": "2018年7月1日0点0分" } 以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。 服务器就...
从零开始:如何设计一个现代化聊天系统
mainjay的博客
07-02 965
该博客介绍了一个支持一对一聊天和小群聊的聊天系统架构。WebSocket 用于客户端和服务器之间的实时通信。用于实时消息传递的聊天服务器用于管理在线状态的 Presence 服务器用于发送推送通知的推送通知服务器用于保存聊天历史记录的键值存储用于提供其他功能的 API 服务器支持媒体文件扩展聊天应用程序以支持照片和视频等媒体文件。媒体文件的大小远大于文本,我们可以讨论压缩、云存储和缩略图等相关技术。端到端加密Whatsapp 支持消息的端到端加密,只有发送者和接收者可以阅读消息。
SpringCloud Alibaba 实战:如何让 jwt token 主动失效
Java4396的博客
01-21 1726
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud a.
从0开始,设计研发一个全功能通用大数据系统
热门推荐
GitChat
04-12 6万+
在计算机产业发展的70年时间里,每一次的 IT 革命,无不带来:更低廉的价格、更完善的功能、更便捷的使用、更广阔的市场! 大数据经过10年发展,现在已经到了一个重要的分水岭阶段:通用性和兼容性能力成为大数据发展主流,运行的稳定可靠和使用的简捷、易开发、易维护成为产品发展的驱动力,而这正是 Hadoop/Spark 这类积木式模块框架无法满足的。 本 Chat 讲述这样一个通用大数据系统:系从0开始...
超详细|一篇搞定操作系统——用户接口
diviner_s的博客
01-06 1万+
文章目录6.1 用户接口6.2 其他特殊操作系统6.2.1 嵌入式操作系统6.2.2 分布式操作系统 6.1 用户接口 一、用户接口的发展 早期操作系统对外提供的接口很简陋,功能也单一,包括脱机的作业控制语言(或命令)和联机的键盘操作命令。 在分时系统出现后 ,不仅为程序员提供编程服务的系统调用,而且提供功能强大的命令行接口。在一维空间运行。 图形用户接口(常称做图形界面),它是二维空间界面。 现在有不少游戏软件在三维硬件显示卡的支持下实现三维动画效果。 二、用户接口类型 1、程序接口(系统调用接口
基于STM32+Qt上位机设计的智慧停车场管理系统(207)
最新发布
08-14 261
本项目设计了一套基于STM32+Qt上位机的智慧停车场管理系统。该系统融合了先进的嵌入式技术、图像识别技术、数据库技术和移动互联网技术,通过STM32硬件端实时采集车库现场信息,包括车牌识别、车位占用状态监测等,并将数据上传至Qt上位机进行处理与展示。利用MySQL数据库存储车辆出入库记录及车位使用情况,确保数据的安全性和可追溯性;通过Android手机APP为用户提供查询、支付等功能,实现远程交互与便捷服务。
JWT生成token登录退出学习使用
weixin_44877172的博客
01-19 699
token作为登录唯一标识
WEB安全(十一)退出登录场景下如何使token失效
jinyangjie的博客
02-16 6293
使用token做认证授权时,会发现注销登录等场景下token还有效。因为token不同于Session认证方式——用户退出登录时,服务端删除对应的Session记录即可。如果不引入其他机制,则退出登录时,token仍有效,即仍是登录状态,直到token有效时间到。 下面介绍几个方案: 1、直接从客户端移除token 显然,这对服务端的安全性没有任何帮助,但是这的确使客户端退出登录,而且通过删除token来阻止攻击者,因为他们必须在注销之前窃取token。 2、创建token黑名单 可以维护一份token黑名
cookie、session和token那些事
doprasystem的博客
01-19 8298
cookie 和 session 众所周知,HTTP 是一个无状态协议,所以客户端每次发出请求时,下一次请求无法得知上一次请求所包含的状态数据,如何能把一个用户的状态数据关联起来呢? 比如在淘宝的某个页面中,你进行了登陆操作。当你跳转到商品页时,服务端如何知道你是已经登陆的状态? cookie 首先产生了 cookie 这门技术来解决这个问题,cookie 是 ht
.Net Core下简单的JWT黑名单中间件
sky 胡萝卜星星
08-12 996
自从JWT认证方式在互联网上蔓延后,Session认证方式就被挤掉了一大半的生存空间,这里我们不讲JWT与Session两种方式的优缺点,我们只讲如何通过JWT的黑名单来阻止某些Token的登录。 设置黑名单,也就是说要将Token写入某个存储介质,然后考虑数据并不需要一直存在,其在有效期之后应自动释放,那这种情况下存储介质首选肯定是缓存,鉴于目前流行容器化技术,微服务概念又漫天飞的情况,缓存还得考虑支持分布式,那妥妥的必选方案就是IDistributedCache,这样究竟是单体应用MemoryCache
【SSO单点登录】JWT如何防篡改&&主动注销【黑白名单机制】
m0_57042151的博客
10-13 1574
这种方式和cookie/session机制中的会话失效删除session基本一致,但同时也违背了JWT的初衷,每次登录,我们都需要存储token,跟session一样有内存开销问题。上文我们谈到,一般注销只需要前端销毁存储在客户端的token即可,但那样的话,其实token本质上是还能用,一旦泄露了,你的登录状态就能被别人利用。黑名单机制,巧妙的解决了存储的问题,而且存储量是远远小于,大多数情况下,登录状态都是token自动过期了,而不是用户主动注销。JWT 安全的核心在于签名,签名安全的核心在秘钥。
jwt退出登录/修改密码时如何使原来的token失效
乾坤未定,你我皆是黑马
11-20 1万+
其实前端删掉这个Token不就行了吗(小声bb 不行,这样即使退出登录后拿着以前的token还是可以访问到。 看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢? 既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。 第一种办法: 登录第一次生成token时,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退出登录时,删掉数据...
如何在修改密码、修改权限、注销等场景下使JWT失效
wdj_yyds的博客
12-30 4637
大家好,我是不才陈某~ 今天这篇文章介绍一下如何在修改密码、修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JW
JWT续期与登出思考
生如夏花的博客
07-05 1万+
这两天看了很多相关的知识,梳理一下,记录一些思考。1.tokenjwt的区别    (1)简单的说,token只是一个标识,以token加redis为例,服务端将token保存在redis中,客服端访问时带上token,如果在redis中能够查到这个token,说明身份有效。    (2)jwt不需要查库,本身已经包含了用户的相关信息,可以直接通过服务端解析出相关的信息,与session,tok...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值