登出成功后token过期方案

最新推荐文章于 2023-06-29 00:21:58 发布
最新推荐文章于 2023-06-29 00:21:58 发布
阅读量870 收藏
点赞数
分类专栏: 解决方案 文章标签: spring boot token过期 黑名单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38036909/article/details/131385794
版权

在这里插入图片描述

目录

需求分析

登录成功后,系统会返回一个token给客户端使用,token可以用来获取登录后的一些资源或者进行一些操作。当用户在系统中注销或者退出登录时,需要对token进行过期处理,以保证系统的安全性和数据的保护。以下是对登出成功后token过期需求分析的概述:

  1. 自动token过期:
    当用户在系统中进行注销或者退出登录时,需要将该用户的token过期,禁止后续的使用。具体实现是,服务器应该在注销或退出登录时,将该用户token的状态设定为过期状态或者设置token的有效期为0,以保证token的及时失效。这种方式比手工管理token过期的方式高效、可靠并且节省时间和人力成本。
  2. token黑名单机制:
    当token失效后,服务器可以将这个token加入到一个黑名单中,以确保这个token失效不被误用。使用黑名单机制可以提升token失效之后的安全性,防止因失效而导致信息泄漏和数据损坏等问题。
  3. 多种方式保证token的有效性:
    系统应该设定一个较短、可控制的token有效期限。在该有效期内,当客户端通过传递请求头信息携带token请求资源或服务时,服务器应该及时响应。如果在该有效期内由于某种原因导致服务器未能及时响应,则客户端应该自动或人工更新或请求获取新的token。
  4. 日志和监控:
    需要对token过期和失效的记录进行审查和监测。通过监控系统,可以及时发现潜在的安全威胁,快速定位问题,并采取相应的措施,保障系统的安全性和稳定性。
    以上是登出成功后token过期需求分析的一些基础内容,其他实际应用中还有更多的细节需要分析和处理。

解决方案

为了解决客户在token未过期期间退出登录,原颁发的token还没有过期,我们采用redis缓存未过期的token(过期时间为该token剩余过期时间),也可以把这种方式称为黑名单。

实现步骤

登出成功相关逻辑改造

由于我们集成了springsecurity,所以逻辑就写在了登出成功的拦截器中
具体实现步骤如下:

  1. 通过拦截器输入参数HttpServletRequest获取header中的token
  2. 获取当前token的剩余过期时间
  3. 将该token添加到黑名单中,并设置过期时间为剩余过期时间
@Component
public class MyLogoutSuccessHandler implements LogoutSuccessHandler {

    @Autowired
    private RedisUtil redisUtil;

    @Value("${jwt.authorization}")
    private String authorization;

    @Autowired
    private JwtTokenUtils jwtTokenUtils;

    @SneakyThrows
    @Override
    public void onLogoutSuccess(HttpServletRequest httpServletRequest,
                                HttpServletResponse httpServletResponse,
                                Authentication authentication) {
        //获取token
        String token = httpServletRequest.getHeader(authorization);
        ...
        //获取当前token剩余毫秒数
        long expiration = jwtTokenUtils.getExpirationTimeMillisFromToken(token);
        //添加token黑名单
        redisUtil.setEx(
                RedisConstant.EXPIRATION_TOKEN
                        .concat(CommonConstant.COLON)
                        .concat(token),
                JSON.toJSONString(allClaimsFromToken),
                expiration,
                TimeUnit.MILLISECONDS);
        ...
    }

携带token请求相关逻辑

由于我们集成了springsecurity,所以逻辑就写在了自定义的拦截器中,接口携带token请求时会进入该拦截器
具体实现步骤如下:

  1. 通过拦截器输入参数HttpServletRequest获取header中的token
  2. 校验token是否在黑名单中
@Component
public class JwtAuthorizationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private JwtTokenUtils jwtTokenUtils;

    @Value("${jwt.authorization}")
    private String authorization;

    @Autowired
    private IUserService userService;

    @Autowired
    private RedisUtil redisUtil;

    @SneakyThrows
    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    @NonNull HttpServletResponse response,
                                    @NonNull FilterChain chain) {
        //获取请求携带的token
        final String token = request.getHeader(authorization);
        //验证token是否为空
        if (StringUtils.isNotBlank(token)) {
            //验证token是否在黑名单中
            if (!redisUtil.hasKey(RedisConstant.EXPIRATION_TOKEN.concat(CommonConstant.COLON).concat(token))) {
                ...
            }
        }
        //继续执行
        chain.doFilter(request, response);
    }
}
刘凌枫羽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
本地测试如何让token在有效内过期方法
Khun_HWJ的博客
02-01 1161
本地测试如何让token过期方法
token过期机制
qq_44677753的博客
12-24 5936
第一种方案:在服务器端保存 Token 状态,用户每次操作都会自动刷新(推迟) Token过期时间。 该方案在前后端分离的情况下,每秒可能发起很多次请求,每次都去刷新过期时间会产生非常大的代价。如果 Token过期时间被持久化到数据库或文件,代价就更大了。所以通常为了提升效率,减少消耗,会把 Token过期时保存在缓存或者内存中。 第二种方案:使用 Refresh Token,它可以避免频繁的读写操作。这种方案中,服务端不需要刷新 Token过期时间,一旦 Token 过期,就反馈给
token过期机制的问题
qq_46940224的博客
10-15 4078
浅谈一下token过期机制的问题
token 过期的处理方案有哪些?
生命不息,挖坑不止
06-29 2万+
在用户录时,除了发放一个访问令牌(Access Token)以外,再发放一个刷新令牌(Refrsh Token)。当访问令牌过期时,使用刷新令牌向服务器请求新的访问令牌。当访问令牌过期时,跳转回录界面,让用户重新录。这种方式的优点是可以避免用户频繁录,但需要妥善保管刷新令牌,因为它的安全性比访问令牌更高。这种方式的优点是用户只要频繁访问,就不需要录,但可能会增加服务器负担。用户每次使用使用访问令牌时,服务器都会更新访问令牌的过期时间。访问令牌的有效期比较短,刷新令牌的有效期比较长。
关于 Token 过期问题的两种解决方案
m0_65812066的博客
01-06 3万+
手动更新token。拿到最新的token值后再重新发起刚刚因token过期的请求。2.refresh_token也有过期的时候,这时只能强行让用户自己重新入了。手动更新token。拿到最新的token值后再跳回之前浏览的页面。时候,我们自己手动添加请求头为refresh_token。注意:1. 在请求响应器中做判断在非。请求头配置token,而。
JFinal+token基础demo
05-21
在用户成功录后,服务器会返回一个Token,客户端(通常是浏览器或移动应用)需要在后续的请求中携带这个Token,以证明请求的合法性。 在JFinal中实现Token认证,我们需要做以下几步: 1. **生成Token**:当用户...
通用安全的token化解决方案-美化版.pdf
08-22
1. 用户录后,服务器生成一个访问令牌(Access Token)和刷新令牌(Refresh Token)。访问令牌具有较短的有效期,而刷新令牌有较长的生命周期。 2. 服务器将访问令牌发送给客户端,通常存储在HTTP-only的cookie中...
javaweb录模块 , 双token + redis(防止多设备录)
11-14
refresh token过期 用户后 refresh token刷新次数超过限制 4、如何防止一个用户同时使用多个设备录? 将token存储在redis中 方案陆时将token和refresh_token存储在redis中, 以token/refreshToken + ...
JWT实现单点录解决方案demo
最新发布
04-03
5. **操作**:为了实现全局,服务器需要在接收到请求时,不仅清除当前应用的JWT,还要撤销所有关联应用的刷新令牌。 在“my-sso”这个项目中,我们可以预期包含以下组件和功能: - 用户认证模块:处理...
详解基于Android App 安全录认证解决方案
08-27
二是保存Token信息,服务器验证成功后返回时效性的Token,App保存并携带在后续请求中,较第一种方式更安全。 然后,文章指Token认证机制的不足,并提了改进的Token认证机制。主要优化点在于录验证和状态保持...
token主动失效的方案
lzf的博客
01-12 3189
众所周知,在 OAuth2 体系中认证通过后返回的令牌信息分为两大类:不透明令牌(opaque tokens)和透明令牌(not opaque tokens)。 不透明令牌 是一种无可读性的令牌,一般来说就是一段普通的 UUID 字符串。使用不透明令牌时资源服务不知道这个令牌是什么,代表谁,需要调用认证服务器校验、获取用户信息。使用不透明令牌采用的是 中心化 的架构。 透明令牌 一般指的是我们常说的 JWT Token,用户信息保存在 JWT 字符串中,资源服务器自己可以解析令牌不再需要去认证服务器校..
WEB安全(十一)退录场景下如何使token失效
jinyangjie的博客
02-16 6177
使用token做认证授权时,会发现注销录等场景下token还有效。因为token不同于Session认证方式——用户退录时,服务端删除对应的Session记录即可。如果不引入其他机制,则退录时,token仍有效,即仍是录状态,直到token有效时间到。 下面介绍几个方案: 1、直接从客户端移除token 显然,这对服务端的安全性没有任何帮助,但是这的确使客户端退录,而且通过删除token来阻止攻击者,因为他们必须在注销之前窃取token。 2、创建token黑名单 可以维护一份token黑名
token过期与使用步骤
qq_29581829的博客
11-08 896
笔记
jwt退录/修改密码时如何使原来的token失效
乾坤未定,你我皆是黑马
11-20 1万+
其实前端删掉这个Token不就行了吗(小声bb 不行,这样即使退录后拿着以前的token还是可以访问到。 看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢? 既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。 第一种办法: 录第一次生成token时,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退录时,删掉数据...
SpringCloud Alibaba 实战 - 如何让 jwt token 主动失效?
wdjnb的博客
01-19 3725
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退录后需要将之前的jwt token失效掉,不允许使用旧token录系统。 我说:很简单呀,咱们直接 无为而治,用户退或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud al
如何解决前后端token过期问题
weixin_30216561的博客
02-20 2660
问题描述:首先后端生成的token是有时限的,在一段时间后不管前端用户是否进行了访问后端的操作,后端的token都会过期,在拦截器阶段就会返回错误的请求:token过期,从而拿不到想要的请求数据. 解决思路: 每隔一段时间的后端请求中都将token传送过去获取新的token并返回前端放入cookies中并记录cookie的存储失控,达到更新cookie中token的效果;而长时间不做操作的话我...
Vue刷新token,判断token是否过期、失效的最简便的方法
热门推荐
qq_35430000的博客
06-25 8万+
看了许多小伙伴分享的刷新token和判断token是否失效的方法,个人感觉有些难懂和不够简便。现结合个人开发实践分享一下使用vue axios请求拦截的方法来刷新token和判断token是否过期、失效的方法。 刷新tokentoken是否过期的操作都是由后端实现,前端只负责根据code的不同状态来做不同的操作: 一、判断token是否过期、失效 举例:一般响应状态码 code :0,表示...
JWT生成token过期处理方案
weixin_34111819的博客
08-01 5872
2019独角兽企业重金招聘Python工程师标准>>> ...
token 中有效期设置
qq_38930240的博客
12-24 1万+
Calendar calendar = new GregorianCalendar(); Date date = new Date(); calendar.setTime(date); calendar.add(GregorianCalendar.YEAR, 1);//把日期往后增加一年.整数往后推,负数往前移动 calendar...
token过期录跳转
07-27
用户可以输入正确的凭证进行录,成功后会重新生成新的token并跳转回原来的页面。这样用户就可以继续访问需要录权限的页面了。当然,具体的实现方式还需要根据您的系统架构和需求进行适配。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刘凌枫羽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值