登录优化(Redis令牌失效)

已于 2024-07-27 14:59:58 修改
阅读量349 收藏 10
点赞数 3
分类专栏: 业务优化 文章标签: redis 数据库 缓存
于 2024-07-27 14:56:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63624728/article/details/140735544
版权

登录优化

我们登录成功时会得到一个令牌,而当我们修改密码重新登录后会得到一个新令牌,但是这时旧令牌仍然可以使用,这就有很大的安全隐患。

这时我们想到用redis来存储令牌,当外界登录时,需要验证令牌是否在redis中储存,若redis中没有该令牌,则无法登录。当修改密码时,则会将旧令牌删除,写入新令牌进redis

1.先引入redis依赖坐标

<!--      redis坐标-->
      <dependency>
          <groupId>org.springframework.boot</groupId>
          <artifactId>spring-boot-starter-data-redis</artifactId>
      </dependency>

2.在application.yml配置redis相关信息

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/big_event
    username: root
    password: 123456
  data:
    redis:
      host: localhost
      port: 6379
      password: root@123456

3.在测试类中测试redis是否能够正常使用

import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.data.redis.core.ValueOperations;

import java.util.concurrent.TimeUnit;

@SpringBootTest//如果在测试类上添加了这个注解,那么将来单元测试方法执行之前,我们会先初始化spring容器
public class RedisTest {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Test
    public void testSet(){
        //往redis中存储一个键值对 StringRedisTemplate
        ValueOperations<String,String> operations = stringRedisTemplate.opsForValue();

        operations.set("username","zhangsan");
        operations.set("id","1",15, TimeUnit.SECONDS);
    }

    @Test
    public void testGet(){
        //从redis中获取一个键值对
        ValueOperations<String,String> operations = stringRedisTemplate.opsForValue();
        System.out.println(operations.get("username"));
    }
}

4.下载redis,启动redis-server.exe服务(有问题看错误笔记4.),通过redis-cli.exe图形化界面查询,也可以通过java代码测试。

5.正式写redis令牌失效机制,在Controller的登录中加上当登录时,将token令牌写入redis,先自动装配

	@Autowired
    private UserService userService;
    
    @Autowired
    private StringRedisTemplate stringRedisTemplate;//----------

再写流程

@PostMapping("/login")
    public Result<String> login(@Pattern(regexp = "^\\S{5,16}$") String username,@Pattern(regexp = "^\\S{5,16}$") String password){
        //根据用户名查询用户
        User loginUser = userService.findByUserName(username);
        //判断用户是否存在
        if(loginUser==null){
            return Result.error("用户名错误");
        }
        //判断密码是否正确
        if(Md5Util.getMD5String(password).equals(loginUser.getPassword())){
            Map<String,Object> claims = new HashMap<>();
            claims.put("id",loginUser.getId());
            claims.put("username",loginUser.getUsername());
            String token = JwtUtil.genToken(claims);

            //把token记录在redis中-------------
            ValueOperations<String,String> operations = stringRedisTemplate.opsForValue();
            operations.set(token,token,1, TimeUnit.HOURS);//------------
            return Result.success(token);
            
        }
        return Result.error("密码错误");
    }

6.在登录拦截器中验证,同样是先自动装配,再写判断


@Component
public class LoginInterceptor implements HandlerInterceptor {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;//----------
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //令牌验证
        String token = request.getHeader("Authorization");
        try {

            //从redis中获取相同的token---
            ValueOperations<String,String> operations = stringRedisTemplate.opsForValue();
            String redisToken = operations.get(token);
            if (redisToken==null){
                //token已经失效
                throw new RuntimeException();
            }
//----------------
            Map<String,Object> claims = JwtUtil.parseToken(token);
            //把业务数据存储到ThreadLocal中
            ThreadLocalUtil.set(claims);
            //放行
            return true;
        } catch (Exception e) {
            //http响应状态码为401
            response.setStatus(401);
            //不放行
            return false;
        }

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        //清空ThreadLocal中的数据
        ThreadLocalUtil.remove();
    }
}

7.当修改密码时得到新的令牌,并使旧令牌失效

@PatchMapping("/updatePwd")
    public Result updatePwd(@RequestBody Map<String,String> params,@RequestHeader("Authorization") String token){
        //1.校验参数
        String oldPwd = params.get("old_pwd");
        String newPwd = params.get("new_pwd");
        String rePwd = params.get("re_pwd");
        if (!StringUtils.hasLength(oldPwd)||!StringUtils.hasLength(newPwd)||!StringUtils.hasLength(rePwd)){
            return Result.error("缺少必要的参数");
        }
        //原密码是否正确
        //调用service拿到原密码
        Map<String,Object> map = ThreadLocalUtil.get();
        String username = (String) map.get("username");
        User loginUser = userService.findByUserName(username);
        if (!loginUser.getPassword().equals(Md5Util.getMD5String(oldPwd))){
            return Result.error("原密码填写不正确");
        }

        //new和re是否一样
        if (!rePwd.equals(newPwd)){
            return Result.error("两次填写的新密码不一致");
        }
        //2.调用service完成密码更新
        userService.updatePwd(newPwd);

        //删除原来的token
        ValueOperations<String,String> operations = stringRedisTemplate.opsForValue();
        operations.getOperations().delete(token);

        return Result.success();
    }
紫砂芹菜
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java redis令牌桶_Redis令牌桶算法在限速中的应用
weixin_39892481的博客
02-26 508
1.令牌桶算法令牌桶中有初始容量,每来一个请求从桶中获取一个令牌,并且在一定时间间隔中可以生成令牌,多余的令牌被丢弃。可以实现限速功能。2. 使用google的guava缓存,设置缓存失效时间3. 代码实现主要针对不同用户的请求进行限速,如果单独使用google的RateLimiter可以控制请求的速率,如果超过限定的速率则进行等待,但是无法获取用户的请求速率。如果下可以根据不同的用户进行限速。p...
Spring Cloud Security 实战,退出登录时如何借助外力使JWT令牌失效
weixin_57907028的博客
01-14 448
今天这篇文章介绍一下如何在修改密码修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JWT行了吧。额,社会本就复杂
springboot-redis令牌主动失效机制
weixin_52326703的博客
02-03 413
2.LoginInterceptor拦截器中,需要验证浏览器携带的令牌,并同时需要获取到redis中存储的与之相同的令牌。1.登录成功后,给浏览器响应令牌的同时,把该令牌存储到redis中.3.当用户修改密码成功后,删除redis中存储的令牌
redis实现令牌桶的正确姿势
weixin_42645678的博客
04-26 6507
redis实现令牌桶的正确姿势 最近需要自己做一个限流功能,其他业务代码都好说。唯一的终点就是限流实现,想到redis可以实现令牌桶。一拍脑门,就用它了! 真实开发中才发现想的太简单,如果是基于redis提供的命令在代码中调用的话,效率是小事。原子性根本无法保证!如下: 线程1 获取到令牌桶获取总数为10 线程1 消耗1个令牌,剩余9个令牌 线程2 获取到令牌桶获取总数为10 线程1 刷新令牌为9个 线程2 消耗1个令牌,剩余9个令牌 线程2 刷新令牌为9个 原子性完全无法保证。加锁? 那多节点岂不
SpringBoot项目集成Redis令牌主动失效机制
m0_73739654的博客
01-11 545
/</</
Spring Security OAuth2 redis令牌实现多人登录互踢下线
07-22
在Spring Security OAuth2中实现多人登录互踢下线的方式可以利用Redis来存储和管理令牌信息。下面是一种基本的实现思路: 1. 配置Redis作为Token存储:在Spring Boot应用的配置文件中,配置Redis作为Token的存储...
springcloud的网关(五)--基于redis实现分布式令牌桶的限流
qq_35755863的博客
06-17 3276
一:单机式令牌桶的缺陷 在上述的记账中我们讨论使用了Bucket来做限流机制。 /** * 创建一个令牌桶 * @return */ private Bucket createNewBucket() { Refill refill = Refill.of(1, Duration.ofSeconds(1000))...
Spring Boot—SSO 单点登录实现中使用 Redis 存储会话
Java技术攻略的博客
02-22 445
今天这篇文章是使用 Shiro + Redis 实现 SSO 单点登录实践过程记录中的一篇内容。我介绍了如何通过实现 Shiro 中暴露的接口来达到将 Session 保存在 Redis 中。并且,在后面分析了我们实现的接口是如何被 Shiro 框架调用的。希望今天的内容能对你有所帮助。
基于redis单点登录,SSO 单点登录,SSO CAS
海里鱼的技术博客
12-17 510
查看传统的的登录方式 大家可以看到最后的用户信息 是存储到 session 中的。 现在有一个致命的问题 服务器中的session不是共享的,如果我们的项目的量级很大需要分布式服务器,那么就需要用户高频率的操作登录功能。这对于用户体验来说是残忍的,也是致命的。 传统登录问题: session默认是存储在当前服务器的内存中,如果是集群,那么只有登录那台机器的内存中才有这个session 比如说我在A机器登录,B机器是没有这个session存在的,所以需要重新验证 如何解决: 不管在那一台web服务器登
Redis 常用命令总结
weixin_73869209的博客
09-05 968
以上就是这篇博客的主要内容了,大家多多理解,下一篇博客见!
Redis
最新发布
weixin_45939821的博客
09-10 249
〇、redis的几种数据类型 一、两种储存机制:RDB和AOF RDB: rdb是redis默认的存储机制; 触发规则后将内存数据存储到硬盘的dump.rdb文件中: save 900 1 save 300 10
Redis 实现原理或机制
Flying_Fish_roe的博客
09-07 1149
Redis 的高性能、高可用性和灵活性来自其精巧的实现原理和机制。通过高效的内存管理、灵活的数据结构、强大的持久化机制、主从复制和集群功能,Redis 能够满足各种复杂的应用场景需求。无论是在缓存、会话管理、还是分布式存储领域,Redis 都能够提供卓越的性能和稳定性。
redis之list核心命令演示与细节探索
Java领域优秀创作者
09-04 852
移除并且得到集合中的最后一个元素,或者阻塞直到有一个元素(或者超时报错)count0时从左往右移除 count个。count = -2时从右往左删除2个v1。如果list存在,则从左边往里面添加元素。count = 2时从左往右删除2个v1。count = 0时删除全部的v1。从list中删除传入的元素。count=0时移除所有的。
KubeCon China 回顾|快手的 100% 资源利用率提升:从裸机迁移大规模 Redis 到 Kubernetes
baidu_41642080的博客
09-10 840
本文分享了如何将大规模的 Redis 实例从裸机迁移到 Kubernetes 上来提高资源的利用率
Redis 集群高可用详解及配置
TYM121380的博客
09-04 1713
Redis是一个开源的、遵循BSD协议的、基于内存的而且目前比较流行的键值数据库(key-value database),是一个非关系型数据库Redis 提供将内存通过网络远程共享的一种服务,提供类似功能的还有memcached,但相比memcached,redis还提供了易扩展、高性能、具备数据持久性等功能。Redis 在高并发、低延迟环境要求比较高的环境使用量非常广泛。
Redis两种类型分区
Flying_Fish_roe的博客
09-07 1197
水平分区,也称为Sharding,是最常见的 Redis 分区方法。这种分区方法的核心思想是将 Redis 的**键值对(key-value pairs)**按照一定的规则(例如哈希函数)分散到不同的 Redis 节点上。每个 Redis 实例保存数据集的一个子集,而不是整个数据集。通过这种方式,Redis 集群可以存储和管理更多数据,并且能够更好地处理高并发请求。垂直分区(Vertical Partitioning),又称为功能分区,是一种根据数据的不同功能或逻辑,将数据拆分到不同的 Redis 实例上。
如何在在Java中操作Redis
几许的博客
09-07 1380
前面我们讲解了Redis的常用命令,这些命令是我们操作Redis的基础,那么我们在java程序中应该如何操作Redis呢?这就需要使用Redis的Java客户端,就如同我们使用JDBC操作MySQL数据库一样。JedisLettuceRedissonSpring 对 Redis 客户端进行了整合,提供了 Spring Data Redis,在Spring Boot项目中还提供了对应的Starter,即 spring-boot-starter-data-redis
Redis缓存优化:应对穿透、失效与雪崩策略
"Redis高并发缓存设计问题与性能优化" Redis作为一款高性能的键值数据库,在高并发场景下常被用作缓存来提升系统性能。然而,缓存设计中存在一些常见问题,如缓存穿透、缓存失效(击穿)和缓存雪崩,这些都需要我们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值