使用JWT控制登录鉴权的项目如何实现单个账号只允许在一处登录的功能

最新推荐文章于 2024-05-27 22:11:25 发布
最新推荐文章于 2024-05-27 22:11:25 发布
阅读量1.5w 收藏 42
点赞数 4
文章标签: JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38306688/article/details/88647353
版权

       使用JWT控制登录鉴权的项目如何实现单个账号只允许在一处登录的功能,也就是说在登录状态未失效的情况下,下一次登录必须踢掉上一次的登录。如果我们不做限制的话,单个账号多次登录就会产生多个token,只要未过期就都能调用接口。可能第一反应会想,用JWT实现token手动强行过期,然而JWT并未提供此功能,那么我们在项目中应该如何优雅的解决这个问题呢?<继上篇>

使用redis:

我们可以将用户每次登录后产生的token 存入redis 中,key中加入用户id来识别

//token 存入redis
redisTemplate.opsForValue().set("access_token:member_"+member.getId(), token, 30, TimeUnit.DAYS);

那么第二次同一账号执行登录操作的时候就会覆盖上一次登录存在redis中的token。

写到这里就会发现在token 未失效的情况下,上次登录产生的token已经不存在了。隐约说明了踢掉了上次登录,那么下一步该如何具体判断上一次的登录已失效呢?

其实很简单,我们虽然做不到token真正过期,但是我们能进行新旧token对比来保证旧token 无权限调用接口,从而达到限制单处登录功能。

可能会有人发现token 在未过期的时间段里无论怎么登录都是一模一样,从而无法实现新旧token对比,其实只需要在创建token的时候在 claim 里加上一个随机字符串即可。例:uuid

JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")
			.claim("nickName", name)
			.claim("memId", userId)
                        .claim("uuid", "我是一个随机字符串")
			.setIssuer("francis")//发行者,自定义
                        .setAudience("client")
			.signWith(signatureAlgorithm, generalKey());

 

下一步:在过滤器中通过解析当前传入的token拿到用户id,然后从redis取出该用户登录所记录的token作对比。

        @SuppressWarnings("rawtypes")
	@Autowired
	private RedisTemplate redisTemplate;
	
	@Override
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		if("OPTIONS".equals(request.getMethod())){
			chain.doFilter(request, response);
			return;
		}
		String auth = request.getHeader("token");
		String nowToken = auth;
		if ((auth != null) && (auth.length() > 7)) {
			String HeadStr = auth.substring(0, 6).toLowerCase();
			if (HeadStr.compareTo("bearer") == 0) {
				auth = auth.substring(7, auth.length());
				if (JwtHelper.parseJWT(auth) != null) {
					//解出memId
					Integer memId = JwtHelper.getUserId(nowToken);
                                        //取出登录时保存的token
					Object oldTokenObj = redisTemplate.opsForValue().get("access_token:member_"+memId);
					System.err.println(oldTokenObj);
                                        //对比两个token,(注Validator...为feilong工具包内容,没有使用的自行修改判断即可)
					if(Validator.isNullOrEmpty(oldTokenObj) || auth.equals(oldTokenObj.toString())) {
						chain.doFilter(request, response);
						return;
					}
				}
			}
		}
		response.setCharacterEncoding("UTF-8");
		response.setContentType("application/json; charset=utf-8");
		response.setStatus(HttpServletResponse.SC_OK);
		response.getWriter().write(JsonUtil.getJsonFromObject(new Result(EnumSvrResult.ERROR_TOKEN)));
        return;
	}

写到这里那么一个新的问题又来了,filter 过滤器是属于servlet里面的,并不存在于spring的上下文中,哪怕你在filter上加@Component注解也没有作用,这点要注意了。那么redisTemplate 该如何Autowired依赖注入?

其实我们在上一篇文章中有注意到有JwtConfig类是启动加载的,在FilterRegistrationBean中将filter注册到了servlet,其实我们只需要在filter注册到servlet之前将它注册到spring 上下文中,如下

@Configuration  
public class JwtConfig {
	
 	@Bean  
    public FilterRegistrationBean basicFilterRegistrationBean(){  
        FilterRegistrationBean registrationBean = new FilterRegistrationBean();  
        registrationBean.setFilter(getJwtFilter()); 
          
        List<String> urlPatterns = new ArrayList<>();  
        urlPatterns.add("*.auth");  
        registrationBean.setUrlPatterns(urlPatterns);  
        return registrationBean;  
    } 
 	
    //注入JwtFilter bean
    @Bean
    public JwtFilter getJwtFilter(){
        return new JwtFilter();
    }
}

那么再运行程序filter中的redis 就能成功依赖注入了。

在JWT基础上实现单个账号只允许在一处登录的功能就很简单的实现了。

 

 

----我是francis,谨以此记录自己精彩的程序人生!!

francis_zl
关注
  • 4
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
看完就懂-SpringSecurity+JWT 实现单点登录
相约滦北来看你
05-03 939
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统
互斥登陆
willianyy的专栏
01-20 768
// 作为唯一标识的Key,应该是唯一的,这可根据需要自己设定规则。 // 做为测试,这里用用户名和密码的组合来做标识;也不进行其它的错误检查。 // 生成Key string sKey = UserName.Text + "_" + PassWord.Text; // 得到Cache中的给定Key的值 string sU
单点登录JWT实现
最新发布
weixin_62773644的博客
05-27 391
如果无效的话请求打回,浏览器自动发起登录请求,此时网关服务器将请求路由到登陆服务上,登陆服务根据用户的信息生成一个JWT令牌,然后返回给网关,网关再返回给浏览器,此时将JWT放到浏览器的cookie中,之后每次请求都会带着cookie中的JWT。在单体项目中,我们登陆之后可以把验证用户信息的值放入session中,单个tomcat中的session是可以共享的。主要是要在每次发起服务请求时经过一个专门用来拦截请求的服务器,这个服务器我们可以当作是网关,然后使用这个服务器来进行校验token是否有效。
jwt实现一个帐号只能同时在一个设备(端)登录的思路
爱拼才会win
05-05 2万+
jwt的规范目前只检测jwt的发布者,过期时间,签名等信息.大部分现成的库都是按照标准写的.但是标准没有要求jwt带入登录时间等信息,因此用户连续登录多次,后台返回的token在有效期内都能访问后台api.也就是用户可以在多个设备同时登录. 有人会采用在登录时将jwt用redis等储存起来,在api的中间件检查时去查数据库中是否储存了这个token,设置过期时间.如果用户再次登录,那么将该tok...
Asp.net 实现只能允许一个账号同时只能在一个地方登录
dianzhen5713的博客
07-24 472
先上帮助类: /// <summary> /// 单点登录帮助类 /// </summary> public class SSOHelper { /// <summary> /// 登录后执行 /// </summary> ...
JWT和单点登录
每天都充一点电
09-17 713
JWT和单点登录
技术贴:asp.net实现唯一账户在线 禁止同一帐号同时在线 asp.net实现您的帐号在别处登录,您已被迫下线!...
weixin_30363817的博客
10-24 222
技术要点: Application 全局变量的使用 hashtable 的使用 Session 对应唯一sessionID 标志会话状态 webpage 继承 BasePage的技术 整体比较简单,主要是思想 private void SetOnlineInfo(HttpContext context, string username) { ...
Springboot集成JWT+Redis实现单点登录和同一账号允许一处登录
weixin_43412919的博客
12-21 1万+
功能简述:JWT+Redis实现单点登录功能的同时,也实现同一个账号只能在一台设备上登录实现方式并非是建立长连接,因为长连接是比较消耗系统性能的。这里只是简单的redis方式实现。 什么是单点登录? 单点登录的英文名叫做:Single Sign On(简称SSO)。 在最开始的单体架构(或者说单系统)当中,所有的代码都放在一个项目当中,传统的登录流程是 用户登录—>登录校验(校验用户名密码)—>将用户名等信息放入session当中—>成功登录。 这样就可以从session当中获取用.
.net平台限制同一账号只能一人登录问题;当一账号登录未退出,同一账号再次在另一电脑或浏览器登录后前者会被挤掉线,弹窗提醒
zmc_123的博客
04-18 1685
.net平台限制同一账号只能一人登录问题;当一账号登录未退出,同一账号再次在另一电脑或浏览器登录后前者会被挤掉线,弹窗提醒 该解决方案针对.net MVC框架开发平台 1.在登录成功跳转主页面前调用方法GetOnline(string loginName);记录SessionID private void GetOnline(string Name) { H...
Spring boot +Spring security4 config 配置同账号登录允许一个在线
ayou_java的博客
12-26 8254
关于网上说的http方式配置无效问题,经验证,有点误导人,并且配置方式感觉过于复杂。 目前这种方式感觉是最简洁的一种方式。 一、核心配置: @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfig extends Web
jwt用户登录 实现用户同时在线数量限制
u012565281的博客
12-08 4255
通常系统都会限制同一个账号登录人数,多人登录要么限制后者登录,要么踢出前者,今天讲的是踢出前者。 JWT(token)存储在Redis中,类似 JSessionId-Session的关系,用户登录后每次请求在Header中携带jwt 比较时间戳 维护一个 username: jwtToken 这样的一个 key-value 在Reids中 拦截器逻辑 package com.gitee.taven.filter; import com.gitee.taven.utils.JWTUt.
如何保证一个系统只有一个用户可以登录(api.service.ts、app.config.ts)
galaxyfanqi的博客
01-12 444
甲乙同时使用同一用户名、密码登录系统。甲先登录,乙后登录,当乙登陆后,在定时器设定时间内,甲登录信息失效!
Spring Boot + Spring Security 防止用户在多处同时登录(一个用户同时只能登录一次)及源码分析
热门推荐
杰明Jamin的博客
01-02 4万+
Spring Boot + Spring Security 防止用户在多处同时登录(一个用户同时只能登录一次)及源码分析,网上很多文章的实现方法写得比较复杂 ,这里介绍一个简单的方法。
springboot的拦截器和限制单一用户登录
不想变咸的淡水鱼
09-11 4171
因为项目使用是用户登录redis缓存一个token,所以当用户在a设备登录时,便缓存了tokenA,这时用户去b设备登录,新缓存了一个tokenB,如果用户使用a设备去请求,token已经失效,从而实现单一设备登录 1 实现接口HandlerInterceptor public class MiniInterceptor implements HandlerInterceptor{ ...
[JWT]djangojson web token实现单用户登录
Gtheal的博客
02-27 1088
全文1546字,可能需要您5分钟. 共三部分: 一.JWT的概念 二.django restfulframework_jwt源码分析 三.基于django中间件实现跳转页面的鉴权工作 因为采用前后端分离的技术,所以考虑使用JWT来进行页面授权,这个问题想了好久,有点难懂,主要是跳转页面的鉴权问题. 一.JWT的概念 json web token是用来代替cookie-session...
.net 一个网站怎同一个用户登录只能登陆一次_一文带你了解现在的网站是如何做登录的...
weixin_42164702的博客
01-14 379
此篇我想聊一聊单点登录。在web初期时代,也就是servlet时代,我们知道,一个用户要在一个电商网站进行注册登陆,那么网站必须有一个数据库,用来持久化保存用户的用户名密码的。之所以放在数据库,就是因为其是存储在磁盘中,不会因为服务器的宕机而使得数据丢失。而存到磁盘类数据库是最方便的处理方式。用户在登录的时候,经过和数据库的内容进行对比后,验证成功后。在servlet时代,我们有requ...
一个账号某一时刻只能在一处登陆
styhm的专栏
11-01 276
一个账号禁止多人使用,如果前一个人登陆了账号A,那么另一个人用账号A登陆将会把前一个人挤掉下线。废话多说,上菜 1.定义一个全局线程安全变量 存放用户最后登陆时间 2.用户登陆时,将用户登陆时间loginTime存在map中(可以用ConcurrentHashMap)key为用户id,value为用户最后登陆时间。 3.登陆过程中,获取session,在session中存放用户登陆时间...
springboot 项目 登录使用 token 并限制用户只能登录1个 当登录两个浏览同时访问时会挤掉另外一个 或者可以登录多个账号 这个自己根据自己的需求设计
sinat_39327967的博客
11-04 4982
登录 token redis key的生成 并限制用户只能登录1个 当登录两个浏览同时访问时会挤掉另外一个 或者可以登录多个账号 这个自己根据自己的需求设计 生成token使用 redis 进行生成 格式为 token+用户id(此id为md5加密 因为不想让用户直接看到自己的id )+生成的token秘钥 实例 “tokenakwdoadwmamd.awdawdawernfiwonefowenfew.ewrfeorjnqwneqweqwe”:“用户基本信息” 当用户登录成功时 拿用户id 进行加密 并且
springSecurity+jwt实现互踢功能
jockha的博客
11-24 1846
一.思路: 原来的实现用户登录态是: 1.后台登陆成功后生成一个令牌(uuid)----JwtAuthenticationSuccessHandler 2.后台把它包装成jwt数据,然后返回给前端—JwtAuthenticationSuccessHandler 3.后台把它加入redis缓存中,并设置失效时间----JwtAuthenticationSuccessHandler 4.前端调用接口时,带入jwt 5.后台写个拦截器或者过滤器,在前端调用接口的时候,从request的header中获取jwt,在
使用 JWT 实现登录功能使用 SpringSecurity做 Token 校验鉴权
03-25
好的,这个问题可以回答。对于实现登录功能,并使用 JWT 实现 Token 校验鉴权的步骤大致如下: 1. 新建一个 Spring Boot 项目,并添加 Spring Security 依赖。 2. 配置 Spring Security,实现登录功能。 3. 在登录成功后生成 Token。 4. 在每个需要验证权限的接口中添加 Token 校验鉴权逻辑。 具体实现细节请参考相关的 Spring Security 和 JWT 文档。
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值