系统安全功能:系统退出后令牌失效

已于 2024-01-22 15:31:11 修改
阅读量439 收藏 7
点赞数 7
分类专栏: 安全架构 文章标签: java web安全 安全
于 2024-01-19 15:07:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46464597/article/details/135698399
版权

系统安全功能:系统退出后令牌失效

在现代Web应用中,用户退出系统是一个基本功能,然而,如何确保退出后的令牌不再有效,是系统安全性的一个关键问题。本文将介绍如何通过在用户退出时将JWT令牌加入黑名单,以及在后续请求中验证令牌的有效性,构建系统的双层安全机制,有效应对令牌滥用的风险。

背景

Web应用中的用户认证一般依赖于JWT令牌,它是一种轻量级的身份验证方式。然而,一旦用户退出系统,之前的令牌理论上仍然是有效的,这可能导致一些潜在的安全问题。因此,我们需要一种机制来确保退出后的令牌不再被接受,提升系统的整体安全性。

需求

实现用户安全退出功能。
使退出后的JWT令牌失效,防止滥用。

分析与设计

为了满足上述需求,我们将采用以下方案:

1、将JWT令牌加入黑名单:
在用户退出系统时,获取JWT令牌的ID。
将令牌ID存储到Redis中,构建黑名单。
设置与JWT令牌相同的失效时间,保证黑名单中的令牌会在一定时间后自动清理。

2、验证JWT令牌的有效性:
在每次请求中,获取JWT令牌的Claims。
检查用户对象、Claims对象以及令牌ID是否不为空。
构建黑名单中的key,通过Redis验证令牌是否在黑名单中。
如果在黑名单中,拒绝请求处理。

核心代码

将JWT令牌加入黑名单

// 新增将JWT令牌加入黑名单操作,并设置相同的失效时间
Claims claims = SecureUtil.getClaims(Objects.requireNonNull(request));
if (ObjectUtil.isNotEmpty(claims)) {
    Date expiration = claims.getExpiration();
    DateTime now = DateTime.now();
    long seconds = cn.hutool.core.date.DateUtil.between(now, expiration, DateUnit.SECOND);
    String id = claims.getId();
    String ExpIdKey = TokenConstant.EXP_ID + ":" + userId + ":" + id;
    redisTemplate.opsForValue().set(ExpIdKey, id);
    redisTemplate.expire(ExpIdKey, seconds, TimeUnit.SECONDS);
}

验证JWT令牌是否有效

// 拦截器中 校验黑名单
Claims claims = SecureUtil.getClaims(request);
if (user != null && claims != null && StringUtil.isNotEmpty(claims.getId())) {
    String key = TokenConstant.EXP_ID + ":" + user.getUserId() + ":" + claims.getId();
    String jit = redisTemplate.opsForValue().get(key);
    if (claims.getId().equals(jit)) {
        log.debug("令牌已失效");
        failBack(resp);
        return false;
    }
}

扩展

通过这种双层安全机制,我们可以进一步扩展系统的安全性:

  • 定时任务清理过期令牌: 使用定时任务定期清理黑名单中的过期令牌,确保黑名单不会无限增长。
  • 基于角色或权限的失效策略: 根据用户的角色或权限,实现更精细化的令牌失效策略。
  • 结合双因素认证: 在令牌验证前加入双因素认证,提升系统的身份验证层级。

总结

通过构建系统的双层安全机制,我们有效地应对了用户退出后令牌的滥用风险。这种机制简单而强大,为Web应用提供了额外的安全保障,使用户退出更具安全性。

季同学 `
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spacesiren:用于AWS的honey令牌管理器和警报系统
01-29
太空警报器 SpaceSiren是适用于AWS的管理器和警报系统。 借助这个完全无服务器的应用程序,您几乎可以免费创建和管理蜜币令牌(每个SpaceSiren实例最多10,000个)。 1个 这个怎么运作 SpaceSiren提供了一个API,用于创建无权限的AWS IAM用户和这些用户的访问密钥。 您可以在任意位置(例如,专有代码或私有数据存储区)中添加访问密钥。 如果这些来源之一遭到破坏,则攻击者很可能会使用窃取的密钥来查看他们可以采取的措施。 您将收到一条警报,提示有人尝试使用该密钥。 警报输出 电子邮件 PagerDuty 松弛 前推 文档页面 要求 与任何开源项目一样,此假设您已具备所需的基础工具和知识,主要是有关AWS和Terraform的知识。 资源资源 地形> = 0.13 AWS CLI 具有管理员访问权限的专用AWS账户 注册域名 知识 基本地形 基本REST API 基本的AWS CLI,S3和Route 53 基本的AWS组织和用于跨帐户访问的IAM角色 中间DNS(使用NS记录委派(子)域) 联系 如果您发现一个严重的安全漏洞(例如,将授予对A
TokenRing:分布式系统同步的令牌环实现
07-02
令牌环 分布式系统同步的令牌环实现
Linux系统安全及应用
2301_82109773的博客
04-22 1533
usermod -s /sbin/nologin 用户名。
系统安全及应用
weixin_75101141的博客
03-02 225
sufficient :一票通过,表明本模块返回成功则通过身份认证的要求,不必再执行同一type内的其它模块,但如果本模块返回失败可忽略,即为充分条件,优先于前面的。- account 帐户的有效性,与账号管理相关的非认证类的功能,如:用来限制/允许用户对某个服务的访问时间,限制用户的位置(例如:root用户只能从控制台登录)-sT TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放。
LINUX系统安全和应用
sj199728的博客
03-03 109
1
系统设计——系统鉴权设计
庄小焱
08-21 1202
JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。系统中采用JWT的技术来保证整个系统的数据访问的安全性性质。本博文将详细的介绍JWT鉴权服务设计,帮助大家更好的理解和学习JWT原理与使用。
理论:系统安全及应用
Lfwthotpt的博客
11-15 587
前言:主要了解账号安全控制,系统引导和登录控制,弱口令检测,端口扫描 文章目录一 :账号安全基本措施1.1 系统账号清理实操:1.2 密码安全控制实操:1.3 命令历史限制1.4 终端自动注销二 : 使用su命令切换用户2.1 用途及用法2.2 密码验证2.3 限制使用su命令的用户2.4 查看su操作记录三 : Liunx中的PAM安全认证3.1 su命令的安全隐患3.2 PAM认证原理3.3 ...
应用安全设计规范--模板
莫慌的博客
08-22 1989
应用安全设计规范的一个甲方模板,对新老系统安全设计按照应用安全级别提供了一个管理规范
系统设计类题目汇总一
yxg520s的博客
08-07 491
答:所以这个时候会使用位图,将每一个在线用户放入到一个编码函数生成一串数字,根据对应的数字将其在bitMap中对应位置的值置为1,用户下线时就将对应位置的值置换为0,此时内存使用量为100000000/8b/1024B/1024MB 约等于 12MB;前几个方案的缺点:如果使用set,会存储每一个用户的id,在1亿用户量的情况下,每一个用户id占用4B,总的内存使用量就是10^9*4B=4GB,内存会撑爆。需要注意的是,这种方法会稍微增加存储和操作的开销,因为每次登录或退出都需要操作两个 Redis 键。
操作系统安全:Windows系统安全架构.pptx
06-02
Windows系统安全架构;Windows安全架构;Windows系统安全组件;?针对运行对象所有者可以控制谁被允许访问该对象以及访问方式。;要求所有的用户必须登陆,通过认证后才可以访问资源;5、对象的访问控制;Windows安全子...
stoken:适用于LinuxUNIX系统的RSA SecurID兼容软件令牌
03-11
stoken-Linux / UNIX的软件令牌 stoken是与RSA SecurID 128位(AES)令牌兼容的令牌代码生成器。 该项目包括几个组成部分: 一个简单的命令行界面(CLI),用于管理和操作令牌 具有剪切和粘贴功能的GTK + GUI 共享...
Java令牌Token登录与退出的实现
08-19
主要介绍了Java令牌Token登录与退出的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
【操作系统】知识梳理(十)多处理机操作系统
weixin_46601559的博客
04-11 2707
10.1 多处理机系统概述 1.多处理机系统的类型 1)紧密耦合MPS和松散耦合MPS 按多个处理机之间的耦合程度,可将MPS分为紧密耦合MPS和松散耦合MPS两类。 (1)紧密耦合MPS。 紧密耦合MPS通常是通过高速总线或高速交叉开关,来实现多个处理器之间的互连,系统中的所有资源和进程,都由操作系统实施统一控制和管理。 多个处理机可以共享主存储器,即每个CPU都可以访问整个主存储器,此时,访问一个存储器字约需要10ns~50ns。紧密耦合MPS也可以不共享主存储器,此时,每个CPU只能访问自己的私
分布式系统理论
zhengchao1991的博客
10-18 286
1、一致性hash算法:深入一致性哈希(Consistent Hashing)算法原理 一致性Hashing在分布式系统中经常会被用到,用于尽可能地降低节点变动带来的数据迁移开销 hash算法缺陷:先来简单理解下Hash是解决什么问题。假设一个分布式任务调度系统,执行任务的节点有n台机器,现有m个job在这n台机器上运行,这m个Job需要逐一映射到n个节点中一个,这时候可以选择一种简单的Hash算法来让m个Job可以均匀分布到n个节点中,比如 hash(Job)%n ,看上去很完美,但考虑如下两种...
JAVAEE之多线程进阶(2)_ CAS概念、实现原理、ABA问题及解决方案
最新发布
2301_80653026的博客
05-29 1367
CAS全称Compare and swap,字面意思:”比较并交换“,它是一条 CPU 并发原语,用于判断内存中某个值是否为预期值,如果是则更改为新的值,这个过程是原子的。全称 Compare and swap, 即 “比较并交换”. 相当于通过一个原子的操作, 同时完成 “读取内存, 比较是否相等, 修改内存” 这三个步骤. 本质上需要 CPU 指令的支撑。
【STM32学习】HAL库点灯学习
2301_78895982的博客
05-26 876
STM32基于HAL库流水灯实验_hel库安装教程中文版-CSDN博客t=N7T8。
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 878
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Spring6基础笔记
质胜文则野,文胜质则史。文质彬彬,然后君子。
05-21 1198
Spring 是一款主流的 Java EE 轻量级开源框架 ,Spring 由“Spring 之父”Rod Johnson 提出并创立,其目的是用于简化 Java 企业级应用的开发难度和开发周期。Spring的用途不仅限于服务器端的开发。从简单性、可测试性和松耦合的角度而言,任何Java应用都可以从Spring中受益。Spring 框架除了自己提供功能外,还提供整合其他技术和框架的能力。Spring 自诞生以来备受青睐,一直被广大开发人员作为 Java 企业级应用程序开发的首选。时至今日,Spring 俨然
帮忙写一份动态令牌认证系统功能介绍
08-04
### 回答1: 动态令牌认证系统是一种常用的用于网络认证的方法。它的基本原理是,用户在进行网络认证时,系统会向用户发送一个动态生成的令牌(通常是一个数字或字符串)。用户需要在输入用户名和密码的同时输入该令牌,才能通过认证。 动态令牌认证系统的优点是,令牌是动态生成的,每次认证都会使用不同的令牌,因此即使攻击者窃取了用户的用户名和密码,也无法通过认证。另外,动态令牌认证系统还可以限制同一个令牌在一定时间内只能使用一次,进一步增强了安全性。 ### 回答2: 动态令牌认证系统是一种安全性较高的身份验证系统,它通过生成一次性动态密码来增强用户登录的安全性。该系统主要包含以下功能: 1. 双因素认证:动态令牌认证系统结合了用户密码和动态密码两个因素进行认证,提高了登录的安全性。用户除了输入正确的密码外,还需要使用动态令牌生成的动态密码进行验证。 2. 动态令牌生成:系统生成用于身份验证的动态令牌,该令牌一般包括一串数字或字符,可以通过手机短信、手机应用程序或硬件令牌等方式生成。每次生成的动态令牌都是唯一的,并且在短时间内过期,增加了令牌安全性。 3. 令牌同步:动态令牌认证系统中,令牌生成设备和认证服务器需要保持同步。为了确保生成的动态令牌的正确性,用户在登录时需要确保令牌生成设备与服务器时间保持一致,以避免验证失败。 4. 令牌验证:用户在登录时,除了输入密码外,还需要输入动态令牌进行验证。系统会根据用户输入的动态令牌和服务器上生成的动态令牌进行比对,验证令牌的有效性。令牌验证成功后,用户才能完成登录。 5. 自动阻止重放攻击:动态令牌认证系统通过在令牌中加入时间戳或计数器,可以自动识别和阻止重放攻击。令牌在生成后只能在一定的时间范围内使用,超过时间范围后会自动失效,有效防止了黑客的攻击。 动态令牌认证系统功能主要在于提高用户的身份验证安全性,降低账户被盗风险。通过增加动态令牌验证这一额外的因素,系统能够阻止大部分钓鱼、关键日志记录和破译密码等攻击手段,为用户提供更加安全的登录体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值