SpringBoot+Token+Redis+Lua+自动续签极简分布式锁Token登录方案

已于 2023-05-13 02:06:18 修改
阅读量1.1k 收藏 8
点赞数
文章标签: lua spring boot redis
于 2023-05-13 01:53:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36153149/article/details/130652536
版权

前言

用SpringBoot做一个项目,都要写登录注册之类的方案
使用Cookie或Session的话,它是有状态的,不符合现代的技术
使用Security或者Shiro框架实现起来比较复杂,一般项目无需用那么复杂
使用JWT它虽然是无状态的,也可以载荷用户数据,但还是有很多缺点
  • 缺点1:设置过期时间后,无法强制让它过期,在有效期内它始终可用
  • 缺点2:一次性的,如果用户数据有变,只能重新生成新的JWT
  • 缺点3:安全性,它是base64加密的,如果载荷有重要数据,可以被抓包解析

JWT不适合登录鉴权,适合应⽤场景:⼀次性验证,比如⽤户注册后发⼀封邮件让用户在有效期内激活账户

所以很多项目用的都是Redis+Token方案,简单方便问题少

流程 + lua优化

  1. 设置一个拦截器,不校验登录接口,拦截其他接口

  2. 登录接口接收前端传来的用户名密码,去数据库查询该用户名是否存在,该密码是否正确

  3. 如果正确则表示登录成功,调用生成Token方法,返回Token给前端

  4. Token使用用户id或账号+时间戳+UUID用MD5加密的一串字符串(不建议用其他数据,因为id或账号极少变更的,变更会增加复杂性)

  5. 生成后存储到Redis,把Token当作键,用户数据当作值,并设置过期时间

  6. 生成Token的方法中,还得防止重复调登录接口,不停生成不同的Token,所以先判断数据库中是否存在键,所以保存token键到redis的同时要在redis中再增加一条用户ID为键Token为值的数据,可以验证该用户是否已经生成过token,如下:
    ![在这里插入图片描述](https://img-blog.csdnimg.cn/d08b6c3c3edd4b78a0fef6869c1ed9f2.png
    在这里插入图片描述

    这个验证token的是已登录后其他请求通过拦截器中验证token的
    在这里插入图片描述
    在这里插入图片描述

  7. 先请求一次reids拿过期时间来判断,再选择生成或者延长

    关于Token续签(延长过期时间)
    假如设置Token五个小时过期需要重新登录,其他的博客可能有刷新token,这些工作需要前端去配合调用,无疑增加了前端和后端的工作量。所以考虑直接用已存在的Token延长时间,因为Token本身是md5加密的,所以安全性还是可以的

  8. 注意到没,判断和生成和续签都需要两次redis请求,一次判断时间,一次读写Token,
    这可能就会导致数据不一致问题,懂了吗?

    所以这部分操作全部交由lua处理
    在这里插入图片描述
    登录方法这个lua脚本中既判断了存在,又判断了是否需要延期,又可以只生成一个token,且只需要请求一次redis。

    接下来是校验其他接口方法,同时也做了验证和续期
    在这里插入图片描述
    这样登录和校验续期都只需要请求一次redis即可,类似分布式锁的实现了,相当于把token当作锁。

    方案只要配置WebMvcConfigurer
    在这里插入图片描述
    自定义一个拦截器,再写一个TokenUtil就好了,是不是很简单
    在这里插入图片描述

虽然方案还有一些不完美的,但是不影响性能和使用。有更好的意见大家提出~

原创不易,请勿盲目copy!

YHosiris
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Boot+Redis 扛住,瞬间千次重复提交
KHOST的博客
06-23 790
作者:慕容千语 来源:http://suo.im/5PaEZI 前言: 在实际的开发项目中,一个对外暴露的接口往往会面临,瞬间大量的重复的请求提交,如果想过滤掉重复请求造成对业务的伤害,那就需要实现幂等! 我们来解释一下幂等的概念: 任意多次执行所产生的影响均与一次执行的影响相同。按照这个含义,最终的含义就是 对数据库的影响只能是一次性的,不能重复处理。 如何保证其幂等性,通常有以下手段: 1、数据库建立唯一性索引,可以保证最终插入数据库的只有一条数据2、token机制,每次接口请...
JWT实现Token认证(token续命
男人要霸气的博客
12-13 3076
1.什么是jwt 双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免...
token自动续期方案
玉兰花秀丽
03-29 6441
该方法的好处:只需N(token的有效时间)分钟续期一次token就行,避免频繁续期 一、原理 登录生成token有效期10分钟。 将token存入redis,key与value皆为token有效期20分钟 token返回给前端 前端携带token访问后端,后端先从redis获取token 如果redistoken,则校验token是否到期 没有到期返回ture 到期了,则重新根据账户信息生成token信息,并将token放入redis当 中(注意redis的key不改变),有效期20分钟
SpringBoot】JWT+TokenToken自动续期
最新发布
低调做人,低调编码,神码都是浮云
05-31 496
Springboot+jwt+token实现双token认证
基于Redis的 Jwt Token续期
weixin_45108259的博客
11-12 993
基于Redis的Jwt Token续期 拦截器实现代码
springboot+JWT+redis实现token身份令牌验证(附代码)(超详细)
pengpm的博客
04-10 5374
利用springboot + JWT + Redis 搭建一个带token身份令牌验证的后端框架 从零开始建议先看我的上一篇教程搭好sprongboot框架:快速搭建springboot+mybatis-plus代码自动生成器的后端框架 项目环境 IDEA 2020 springboot 2.3.7.RELEASE mybatis-plus 3.5.1 JDK 1.8 操作步骤 项目目录结构 用户类 import com.baomidou.mybatisplus.annotation.IdType
SpringSecurity整合springBootredis token动态url权限校验
mofsfely2的博客
02-18 3460
背景 简单先说一下需求吧,这样也好让看的人知道到底适不适合自己。 1、实现自定义的登录认证。 2、登录成功,生成token并将token 交由redis管理。 3、登录后对用户访问的接口进行接口级别权限认证。 springSecurity提供的注解权限校验适合的场景是系统中仅有固定的几个角色,且角色的凭证不可修改(如果修改需要改动代码)。 @PreAuthorize("hasAuthority('ROLE_TELLER')") public Account post(Account account, do
nginx+lua+redis实现token验证
09-29
`lua`作为轻量级的脚本语言,可以增强`nginx`的功能,而`redis`则常用于高速缓存和分布式数据存储。本文将深入探讨如何利用`nginx+lua+redis`来实现`token`验证,以确保只有经过授权的用户才能访问受保护的资源。 ...
linux 实现nginx+Lua 访问redis集群
06-20
最近有个需求是需要用nginx播放服务器的视频,考虑安全问题,需要在nginx加个lua去取redistoken进行验证,刚开始访问测试环境单机还挺好用,可是要访问生产的是集群环境,找了多了资料趟了数不尽的坑,最终形成这...
RedisLua实现分布式限流器的方法详解
12-16
主要是依靠 redis + lua 来实现限流器, 使用 lua 的原因是将多条命令合并在一起作为一个原子操作, 无需过多考虑并发. 计数器模式 原理 计数器算法是指在一段窗口时间内允许通过的固定数量的请求, 比如10次/秒, 500...
解锁redis锁的正确姿势
09-09
在分布式系统中,Redis作为一款高性能的键值存储服务,常被用来实现锁机制,以保证并发场景下的数据一致性。本文将深入探讨如何正确地在Redis中实现和解除锁,以确保系统的稳定运行。 首先,早期的Redis锁实现通常...
SpringBoot-redis-lua
11-23
SpringBoot2.X整合Redis实现Redis支持lua脚本代码实例。
基于redis实现token验证用户是否登陆
09-09
主要为大家详细介绍了基于redis实现token验证用户是否登陆,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
142讲玩转【Spring Boot 分布式电商】开发
06-11
该项目采用真实的开发需求来制作和讲解,主要技术点涵盖基于Freemarker技术,搜索引擎Solr技术,Maven技术,Nginx技术,使用Tengine+Lua+GraphicsMagick 实现图片自动裁剪,使用Redis+Token实现多端登录,使用Spring...
分布式单点登录解决方案
CutelittleBo的博客
11-17 1644
分布式单点登录解决方案 在假设浏览器禁用cookie的情况下,比较推荐的是使用token实现。 redis解决方案(推荐): 1、用户登陆,服务器处理,生成token,并设置过期时间将token为key,用户信息为val的形式存放于redis中。 2、其他应用只需要使用token获取redis中的用户信息即可。 数据库解决方案: 1、与redis实现方法类似,只不过过期时间交由数据库字段来控制,需要单独处理token的过期的逻辑。 参考: 用户进行登录后,为用户生成附带用户信息的特殊字符串(称之为token
springboot中使用redistoken,考虑过期情况
黄黄黄黄黄的博客
12-23 3095
笔者场景: 跨系统调用接口(A系统调用B),B系统的token有效时间7天,调用接口响应较慢(1s)。 分析: A系统的调用会引发两个操作:   1. 需要携带用户信息登录B系统(因为B系统有身份鉴权,否则可以忽略)   2. 调用B系统接口/test 其中,A系统的获得B系统返回结果的耗时影响较大。–> 想要缩短响应时间,使用redis存储。( 200ms+ ) 原理说明: 使用拦截器对该接口进行拦截:实现RequestInterceptor并重写apply(RequestTemplate re
redis分布式锁实现的两种方式 lua脚本与redisson,解决自定义超时后锁自动续期失效问题
liu649983697的专栏
06-06 710
redis分布式锁的实现,两种实现方式:lua脚本、redisson,以及解决使用redisson时自定义锁超时时间后,锁无法自动续期问题
SpringBoot整合Lua脚本
netuser1937的博客
08-23 2041
SpringBoot整合Lua脚本
token续期
magic_818的博客
01-04 406
token续期
springboot+shiro+jwt+redis
08-18
Spring Boot是一个开源的Java框架,用于构建独立的、可执行的、生产级的Spring应用程序。它极大地简化了Spring应用程序的搭建和部署过程,提供了一整套开箱即用的特性和插件,极大地提高了开发效率。 Shiro是一个强大且灵活的开源Java安全框架,提供了身份验证、授权、加密和会话管理等功能,用于保护应用程序的安全。它采用插件化的设计,支持与Spring等常用框架的无缝集成,使开发者能够轻松地在应用程序中添加安全功能。 JWT(JSON Web Token)是一种用于在客户端和服务端之间传输安全信息的开放标准。它使用JSON格式对信息进行包装,并使用数字签名进行验证,确保信息的完整性和安全性。JWT具有无状态性、可扩展性和灵活性的特点,适用于多种应用场景,例如身份验证和授权。 Redis是一个开源的、高性能的、支持多种数据结构的内存数据库,同时也可以持久化到磁盘中。它主要用于缓存、消息队列、会话管理等场景,为应用程序提供高速、可靠的数据访问服务。Redis支持丰富的数据类型,并提供了强大的操作命令,使开发者能够灵活地处理各种数据需求。 综上所述,Spring Boot结合Shiro、JWT和Redis可以构建一个安全、高性能的Java应用程序。Shiro提供了强大的安全功能,包括身份验证和授权,保护应用程序的安全;JWT用于安全传输信息,确保信息的完整性和安全性;Redis作为缓存和持久化数据库,提供了高速、可靠的数据访问服务。通过使用这些技术,开发者能够快速、高效地构建出符合安全和性能需求的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值