退出登录时如何使JWT令牌失效?

已于 2024-08-30 10:09:44 修改
阅读量442 收藏 10
点赞数 3
分类专栏: Java学习 文章标签: java JWT
于 2024-08-29 17:57:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57861784/article/details/141684021
版权

目录

背景

JWT 最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。

例如注销场景下,就传统的 cookie/session 认证机制,只需要把存在服务器端的 session 删掉就OK了。但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JWT行了吧?不行!被你在客户端删掉的JWT还是可以通过服务器端认证的。

使用JWT要非常明确的一点:JWT失效的唯一途径就是等待时间过期。
但是可以借助外力保存JWT的状态,常用的方案有两种,白名单和黑名单方式。

1. 白名单

在 Redis 维护有效的 JWT。登录成功时将生成的 JWT 存入 redis,并按照 jwt 中的过期时间来设置存入 Redis 的过期时间。登出时将该 JWT从 redis 中删除。

这样在 JWT 校验之前先查询白名单中是否有该 JWT,如果有则表明是有效的,然后进入 JWT 校验与解析的逻辑。有点像有状态的 session 的味道了。

2. 黑名单

在 Redis 维护无效的 JWT。登出(注销)时,将 JWT 放入redis中,并且设置过期时间为 JWT 的过期时间;请求资源时判断该JWT是否在redis中,如果存在则拒绝访问。
白名单和黑名单这两种方案都比较好实现,但是黑名单带给服务器的压力远远小于白名单,毕竟登出(注销)不是经常性操作。

3. 黑名单具体实现

究竟向 Redis 中存储什么?

如果直接存储JWT令牌可行吗?当然可行,不过JWT令牌可是很长的哦,这样对内存的要求也是挺高的。
熟悉JWT令牌的都知道,JWT令牌中有一个jti字段,这个字段可以说是JWT令牌的唯一ID了。因此可以将这个 jti 字段存入redis中,作为唯一令牌标识。

如何实现呢? 分为两步:

  • 网关层的全局过滤器从 JWT 中解析出 jti 和过期时间,根据 jti 从redis中查询是否存在黑名单中,如果存在则直接拦截,否则放行;
  • 注销接口中将JWT的 jti 字段作为key存放到 redis 中,且设置过期时间为 JWT 的过期时间。
--------over
Sup星月★然
关注
专栏目录
jwt token注销_退出登录怎样实现JWT Token失效
weixin_39634997的博客
12-19 8387
退出登录,如果不使JWT Token失效会产生如下2个问题问题1-未过期的token还是可以用要是用户在多个设备登录了,而且本地保存了token。当一个地方丢弃token,但是这个token要是没有过期,那之前token还是可以用的。问题2-多个设备会出现死循环如果我把token存到数据库,当用户退出登录或者修改密码,更新token。当用户下次拿着之前的token来认证,找到该用户数据库存的t...
如何在修改密码、修改权限、注销等场景下使JWT失效
wdj_yyds的博客
12-30 4756
大家好,我是不才陈某~ 今天这篇文章介绍一下如何在修改密码、修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JW
【SpringSecurity】十二、集成JWT搭配Redis实现退出登录
llg___的博客
09-03 2077
因为JWT的无状态,服务端无法在使用过程中主动废止某个 token,或者更改 token 的权限。也就是说,目前,一旦 JWT 签发了,就只能等它到过期间才能作废,即使用户已经退出登录。③ 用户每次访问,先校验jwt是否合法,如果合法再从redis里面取出logintoken:jwt判断这个jwt还存不存在,如果不存在就说是用户已经退出登录了。注意过期间和jwt的过期间保持一致,jwt过期间可查看下创建jwt的withExpiresAt方法。,key的过期间和token自身过期间一致。
JWT (JSON Web Token) 立即失效
HakuMaster的博客
07-11 1378
使一个 JWT (JSON Web Token) 立即失效可以通过多种方式实现,取决于具体的实现和系统需求。
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 2607
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 7062
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
jwt退出登录/修改密码如何使原来的token失效
热门推荐
乾坤未定,你我皆是黑马
11-20 1万+
其实前端删掉这个Token不就行了吗(小声bb 不行,这样即使退出登录后拿着以前的token还是可以访问到。 看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢? 既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。 第一种办法: 登录第一次生成token,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退出登录,删掉数据...
Spring Cloud Security 实战,退出登录如何借助外力使JWT令牌失效
weixin_57907028的博客
01-14 469
今天这篇文章介绍一下如何在修改密码、修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JWT行了吧。额,社会本就复杂
SpringCloud Alibaba 实战 - 如何让 jwt token 失效
BUG指挥课堂
01-24 3005
知识回顾 众所周知,在 OAuth2 体系中认证通过后返回的令牌信息分为两大类:不透明令牌(opaque tokens) 和 透明令牌(not opaque tokens)。 不透明令牌 是一种无可读性的令牌,一般来说就是一段普通的 UUID 字符串。使用不透明令牌资源服务不知道这个令牌是什么,代表谁,需要调用认证服务器校验、获取用户信息。使用不透明令牌采用的是 中心化 的架构。 透明令牌 一般指的是我们常说的JWT Token,用户信息保存在 JWT 字符串中,资源服务器自己可以解析令牌不再需要去
SpringCloud Alibaba 实战:如何让 jwt token 主动失效
Java4396的博客
01-21 1796
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud a.
SpringCloud Alibaba 实战 - 如何让 jwt token 主动失效
wdjnb的博客
01-19 3818
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud al
处理用户登出并设置Token失效
最新发布
weixin_73060959的博客
08-15 523
在Web应用中,处理用户登出并设置Token失效是一个关键的安全措施。Token(通常指JWT - JSON Web Tokens 或其他类型的认证令牌)是用户身份验证的一种机制,它们允许用户在无需持续向服务器发送用户名和密码的情况下,通过发送一个加密的Token来验证身份。当用户登出,确保Token失效是非常重要的,以防止未授权访问。
JWT的登出
一边工作一边考研
10-22 3372
场景: 用户在登录系统后,想要登出这个系统JWT有一个过期间, 但是token还没有失效,应该怎么实现JWT的登出呢? 使用zuul+redis的方案来实现 第三方应用向网关发送请求获取token 网关把请求发送给授权服务器 授权服务器把token发给zuul zuul把token发送给第三方应用,并且把token存放在redis中 第三方应用再次访问资源服务器,此次携带了token,...
Spring Cloud实战 | 最七篇:Spring Cloud Gateway+Spring Security OAuth2集成统一认证授权平台下实现注销使JWT失效方案
竹林幽深
10-07 1194
https://blog.51cto.com/u_12386660/4909284
JWT 的登出问题
Leon_Jinhai_Sun的博客
05-31 1227
Jwt 使用起来不难,而且让我们将“无状态”的概念更贴切的展示出来了,但是实践就真的这么完美吗?不是,因为jwt 的登出问题。 何为登出:就是用户自己点击登出后,或用户的角色/权限改变后,该token 仍然是有效的。你可以选择在前端清除该token,但是,如果用户是有技术背景的黑客呢?之前的token他保存一边,在没有过期(间过期),他仍然可以使用该token。 解决方案: 登出怎么做?聪明的你是否有答案吗? 就是删除该用户存储在redis 里面登录的token 数据,so easy 。
使用Redis来实现JWT令牌主动失效机制
2302_79840586的博客
08-07 587
使用Redis来实现JWT令牌主动失效机制。
Jwt登录退出
10000guo的博客
06-09 1470
【代码】Jwt登录退出
JWT实现token登录
zhanghe687的博客
05-06 207
jwt 单双token原理
如何防止JWT令牌被窃取?
04-21
为了防止JWT令牌被窃取,可以采取以下几种措施: 1 使用HTTPS协议:使用HTTPS协议来传输JWT令牌,确保通信过程中的数据加密,防止被中间人窃取。 2. 限制令牌的生命周期:设置JWT令牌的有效期限,确保令牌在一定间后失效,减少被窃取后的可用性。 3. 使用加密算法:在生成JWT令牌,使用加密算法对令牌进行签名,确保令牌的完整性和真实性,防止被篡改。 4. 不在令牌中存储敏感信息:避免将敏感信息直接存储在JWT令牌的Payload中,可以将敏感信息存储在服务器端,并在需要进行验证。 5. 使用黑名单机制:当JWT令牌被窃取或者失效,将其加入到黑名单中,禁止再次使用该令牌。 6. 使用多因素认证:结合JWT令牌和其他认证方式,如用户名密码、指纹识别等,增加令牌的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值