Token立即过期

已于 2023-03-03 15:32:09 修改
阅读量874 收藏
点赞数
文章标签: c# asp.net
于 2023-02-17 16:06:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38204532/article/details/129087608
版权

写了一个用户退出登录的方法,让Token立即过期,也可以应用在其他场景。

1.定义ApiControllerBase

[Produces("application/json")]
[ApiController]
public abstract class ApiControllerBase : ControllerBase
{
    protected ClaimsPrincipal CurrentUser => this.HttpContext.User;
}

2.添加接口Controller

[ApiController]
[Route("[controller]")]
public class LoginController : ApiControllerBaer
{
    private readonly ILoginService loginService;
    public LoginController (ILoginService loginService)
    {
        this.loginService = loginService
    }

    [HttpPost("Logout")]
    public void Logout()
    {
        this.loginService.Logout(this.CurrentUser);
    }
}

3.添加业务逻辑层服务接口

public interface ILoginService
{
    void Logout(ClaimsPrincipal currentUser);
}

4.添加业务逻辑层实现类

public class LoginService : ILoginService
{
    private readonly ICaching cache;
    public LoginService (ICaching cache)
    {
        this.cache = cache;
    }

    public void Logout (ClaimsPrincipal currentUser)
    {
        var jwtId= currentUser.GetJwtId();
        var expiration = currentUser.GetJwtExpiration();
        var expire = DateTimeOffset.FromUnixTimeSeconds(expiration).AddMinutes(5);//jwt默认有5分钟宽限时间
        SetExpiration(jwtId,expire);
    }
    
    private const string CACHE_TOKEN_BLASKLIST_KEY = "CACHE:TOKEN:BLACKLIST";
    public void SetExpiration(string jwtId,DateTimeOffset expire)
    {
        var key = $"{CACHE_TOKEN_BLASKLIST_KEY } : {jwtId}";
        this.cache.SetString(key,jwtId, new DistributedCacheEntryOptions
        {
            AbsoluteExpiration = expire
        });
    }
}

5.添加静态类扩展方法

public static class Extensions
{
    public static string GetJwtId(this ClaimsPrincipal parincipal)
    {
        var res = parincipal.Claims.SingleOrDefault(p=> p.Type == JwtClaimTupes.JwtId);//添加JWT校验时new一个guid保存到Claim的JwtId中,例如:new Claim(JwtClaimTypes.JwtId, Guid.NewGuid().ToString())
        if(res == null)
            thew new Exception("无法获取用户JwtId。");
        return res.Value;
    }
    
    public static long GetJwtExpiration(this ClaimsPrincipal parincipal)
    {
        var res = parincipal.Claims.SingleOrDefault(p=> p.Type ==JwtClaimTupes.Expiration);
        if(res == null)
            thew new Exception("无法获取用户Expiration。");
        return Convert.ToInt64(res.Value);
    }
    
}

6.添加缓存扩展方法服务接口

public interface ICaching
{
    void SetString(string key,string value, DistributedCacheEntryOptions options);
}

7.添加缓存扩展方法服务实现类

public class Caching : ICaching
{
    private readonly IDistributedCache chche;
    public Caching(IDistributedCache chche)
    {
        this.cache = cache;
    }

    public void SetString(string key, string value, DistributedCacheEntryOptions options)
    {
        cache.SetString(key, value, options);
    }
}

杂货铺大叔丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
vue+tp5+token.zip
06-23
因此,建议使用HTTPS加密传输,同时,定期刷新Token,限制Token的有效时间,以及在检测到异常行为时立即吊销Token。 6. **错误处理**:当Token无效或过期时,服务器应返回合适的HTTP状态码(如401 Unauthorized)和...
jwt_token_test.zip
05-21
另外,由于JWT默认不支持撤销,一旦签发,即使用户注销,也无法立即阻止已签发JWT的使用,这可能引发安全问题。解决方法是在Payload中加入一个短暂的有效期(TTL)或者使用数据库配合黑名单机制。 6. 性能优化: ...
本地测试如何让token在有效内过期方法
Khun_HWJ的博客
02-01 1147
本地测试如何让token过期方法
如何快速让token尽快失效
weixin_45403082的博客
11-02 456
如何快速让token尽快失效 以火狐为例,点击f12,点击菜单栏中的“存储”,点击token一列,修改token的值,回到系统界面,随意点击任意一键将退回到登录界面
spring oauth2 让某个账号token过期
qq_34884729的博客
05-28 6030
终于要折腾oauth2了,感觉平常顺便玩玩还真没什么难度,但对于一些定制功能,什么N种账号类型,什么自定义返回体之类云云。浪费个几小时弄出下面一玩意,算是补充一下知识,在网上搜了一圈感觉也别人说--让某个账号token过期(带redis)。 打开工具看到那几个存在redis的令牌,顺便删一个,要不登录不了,要不访问不了,删不全就是麻烦,让他自己带token访问自己登出倒是简单,但对于管理权限系统...
JWT生成token过期处理方案
weixin_34111819的博客
08-01 5869
2019独角兽企业重金招聘Python工程师标准>>> ...
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 2127
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求时会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同时登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此时就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
移动物联网平台的token计算软件
08-05
4. 更新与刷新:Token的生命周期管理是软件的重要职责,包括在过期前自动刷新Token,或者在检测到异常行为时立即撤销Token。 5. 性能优化:在处理大量并发请求时,Token计算软件需要高效处理验证,避免成为系统性能...
Bearer Token Retriever-crx插件
04-02
同时,应该设置合理的令牌过期时间,并且在怀疑令牌被盗用时立即撤销。 综上所述,Bearer Token Retriever-crx插件是开发者和安全专家的实用工具,它简化了Bearer Token的获取流程,提高了工作效率。然而,正确使用...
djangorestframework-simplejwt:用于 Django REST 框架的 JSON Web Token 身份验证插件
07-24
此外,还可以设置自己的 token 黑名单,一旦发现恶意行为,可以立即吊销特定的 JWT。 4. **错误处理**:如果 JWT 无效或过期,插件会返回相应的错误响应,帮助客户端处理异常情况。 5. **集成 Django 用户模型**:...
前端学习笔记
weixin_51232422的博客
07-25 599
个人前段学习笔记,摘抄了部分前辈发的博客。
Vue中使用localStorage存储token并设置时效
weixin_61769998的博客
12-01 935
Vue中使用localStorage存储token并设置时效
Vue路由使用localStorage设置token过期时间
ShengjieW的博客
06-13 1572
【代码】Vue路由使用localStorage设置token过期时间。
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6698
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
关于分布式系统中jwt token主动过期的方案总结
最新发布
qq_34776150的博客
12-10 1832
jwt token本是为了解决服务间无状态调用确认调用身份合法性的问题出现的解决方案。其设计是为了去中心化、无状态的设计,无需一个统一的token管理服务。为了解决无法主动过期token的问题,就需要人为引入状态对token进行管理,需要服务端记录某些token,这又违背了jwt token的设计初衷。在实际生产中如果有类似需求,我们可以根据实际情况结合每种解决方案的优缺点来选择解决方案。我个人比较推荐黑名单的解决方案,因为其对存储的要求适中,且可以实时使token主动过期生效,提高了系统的安全性。
php jwt token过期怎么解决,laravel 使用jwt一些坑,token过期?刷新返回前端?问题多多!...
weixin_35048266的博客
03-25 2700
在使用laravel时候 摒弃了自带的Auth和passport。主要原因是项目前后端分离,后端写api接口,另外email不做登录选项,password和用户信息存储分开存。在使用JWT过程中遇到很多的坑。坑1 不能用JWTAuth静态调用直接public function xxx (JWTAuth $jwt){$jwt->xxx;}这里的JWTAuth是use Tymon\JWTAut...
Token实现登录、token过期解决以及数据解析
qq_38935605的博客
10-21 7637
token我们可以理解为一个令牌,主要的作用是守护我们系统的安全,像我们登录这些都是可以使用token进行用户数据校验的,那么为什么不用传统的session呢?可能很多人直接使用上面的代码进行登录接口实现了,那么同志们有想过一个问题吗?上面设置了token过期时间的,当用户正在使用我们软件的时候,突然token过期了直接报了个401,这个时候用户肯定是一脸懵逼了,有很多软件都会出现这个问题,就是因为偷懒了,我们不经常发现是因为他们的token设置的过期时间较长而已。--导入下面依赖吧-->
token主动失效的方案
lzf的博客
01-12 3176
众所周知,在 OAuth2 体系中认证通过后返回的令牌信息分为两大类:不透明令牌(opaque tokens)和透明令牌(not opaque tokens)。 不透明令牌 是一种无可读性的令牌,一般来说就是一段普通的 UUID 字符串。使用不透明令牌时资源服务不知道这个令牌是什么,代表谁,需要调用认证服务器校验、获取用户信息。使用不透明令牌采用的是 中心化 的架构。 透明令牌 一般指的是我们常说的 JWT Token,用户信息保存在 JWT 字符串中,资源服务器自己可以解析令牌不再需要去认证服务器校..
前端token知识梳理:token如何存储?token过期如何处理?如何无感刷新token
余浩的博客
06-28 9702
弄两个token,一个负责鉴权得token:access_token,一个负责刷新得token:refresh_token, 每次请求的时候都带上这两个token,后端拦截器判断,先判断鉴权access_token是否有效和过期,如果有效的话,就允许访问。如果过期了,就判断刷新refresh_token是否有效,如果有效,就返回指定状态码,然后让前端根据这个状态码去吊用刷新token接口。如果刷新token失效了,就提示需要重新登录!...
如何设置token立即过期
05-29
要使 token 立即过期,可以使用以下两种方式: 1. 删除 token:在服务端删除该用户的 token,这样客户端再使用该 token 发送请求时会验证失败,因为 token 不存在了。 2. 更新 token 过期时间:在服务端将该用户的 token 对应的过期时间设置为当前时间之前的一个较早的时间,这样客户端再使用该 token 发送请求时会验证失败,因为 token 已经过期了。 需要注意的是,如果使用缓存技术保存 token,那么在删除或更新 token 时需要同步删除或更新缓存中的 token。另外,为了避免 token 被恶意利用,一般建议在用户注销、修改密码等操作时强制让用户重新登录,即使 token 还没有过期

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值