使用JWT控制登录鉴权的项目如何实现单个账号只允许在一处登录的功能

最新推荐文章于 2024-05-27 22:11:25 发布
最新推荐文章于 2024-05-27 22:11:25 发布
阅读量1.4w 收藏 42
点赞数 4
文章标签: JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38306688/article/details/88647353
版权

       使用JWT控制登录鉴权的项目如何实现单个账号只允许在一处登录的功能,也就是说在登录状态未失效的情况下,下一次登录必须踢掉上一次的登录。如果我们不做限制的话,单个账号多次登录就会产生多个token,只要未过期就都能调用接口。可能第一反应会想,用JWT实现token手动强行过期,然而JWT并未提供此功能,那么我们在项目中应该如何优雅的解决这个问题呢?<继上篇>

使用redis:

我们可以将用户每次登录后产生的token 存入redis 中,key中加入用户id来识别

//token 存入redis
redisTemplate.opsForValue().set("access_token:member_"+member.getId(), token, 30, TimeUnit.DAYS);

那么第二次同一账号执行登录操作的时候就会覆盖上一次登录存在redis中的token。

写到这里就会发现在token 未失效的情况下,上次登录产生的token已经不存在了。隐约说明了踢掉了上次登录,那么下一步该如何具体判断上一次的登录已失效呢?

其实很简单,我们虽然做不到token真正过期,但是我们能进行新旧token对比来保证旧token 无权限调用接口,从而达到限制单处登录功能。

可能会有人发现token 在未过期的时间段里无论怎么登录都是一模一样,从而无法实现新旧token对比,其实只需要在创建token的时候在 claim 里加上一个随机字符串即可。例:uuid

JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")
			.claim("nickName", name)
			.claim("memId", userId)
                        .claim("uuid", "我是一个随机字符串")
			.setIssuer("francis")//发行者,自定义
                        .setAudience("client")
			.signWith(signatureAlgorithm, generalKey());

 

下一步:在过滤器中通过解析当前传入的token拿到用户id,然后从redis取出该用户登录所记录的token作对比。

        @SuppressWarnings("rawtypes")
	@Autowired
	private RedisTemplate redisTemplate;
	
	@Override
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		if("OPTIONS".equals(request.getMethod())){
			chain.doFilter(request, response);
			return;
		}
		String auth = request.getHeader("token");
		String nowToken = auth;
		if ((auth != null) && (auth.length() > 7)) {
			String HeadStr = auth.substring(0, 6).toLowerCase();
			if (HeadStr.compareTo("bearer") == 0) {
				auth = auth.substring(7, auth.length());
				if (JwtHelper.parseJWT(auth) != null) {
					//解出memId
					Integer memId = JwtHelper.getUserId(nowToken);
                                        //取出登录时保存的token
					Object oldTokenObj = redisTemplate.opsForValue().get("access_token:member_"+memId);
					System.err.println(oldTokenObj);
                                        //对比两个token,(注Validator...为feilong工具包内容,没有使用的自行修改判断即可)
					if(Validator.isNullOrEmpty(oldTokenObj) || auth.equals(oldTokenObj.toString())) {
						chain.doFilter(request, response);
						return;
					}
				}
			}
		}
		response.setCharacterEncoding("UTF-8");
		response.setContentType("application/json; charset=utf-8");
		response.setStatus(HttpServletResponse.SC_OK);
		response.getWriter().write(JsonUtil.getJsonFromObject(new Result(EnumSvrResult.ERROR_TOKEN)));
        return;
	}

写到这里那么一个新的问题又来了,filter 过滤器是属于servlet里面的,并不存在于spring的上下文中,哪怕你在filter上加@Component注解也没有作用,这点要注意了。那么redisTemplate 该如何Autowired依赖注入?

其实我们在上一篇文章中有注意到有JwtConfig类是启动加载的,在FilterRegistrationBean中将filter注册到了servlet,其实我们只需要在filter注册到servlet之前将它注册到spring 上下文中,如下

@Configuration  
public class JwtConfig {
	
 	@Bean  
    public FilterRegistrationBean basicFilterRegistrationBean(){  
        FilterRegistrationBean registrationBean = new FilterRegistrationBean();  
        registrationBean.setFilter(getJwtFilter()); 
          
        List<String> urlPatterns = new ArrayList<>();  
        urlPatterns.add("*.auth");  
        registrationBean.setUrlPatterns(urlPatterns);  
        return registrationBean;  
    } 
 	
    //注入JwtFilter bean
    @Bean
    public JwtFilter getJwtFilter(){
        return new JwtFilter();
    }
}

那么再运行程序filter中的redis 就能成功依赖注入了。

在JWT基础上实现单个账号只允许在一处登录的功能就很简单的实现了。

 

 

----我是francis,谨以此记录自己精彩的程序人生!!

francis_zl
关注
  • 4
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
看完就懂-SpringSecurity+JWT 实现单点登录
相约滦北来看你
05-03 937
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
Java中使用JWT生成Token进行接口鉴权实现方法是当前最流行的鉴权方式之一。通过本文,读者可以了解到使用JWT生成Token进行接口鉴权的详细实现方法。 什么是JWTJWT(JSON Web Token)是一种基于Token的身份验证...
jwt实现一个帐号只能同时在一个设备(端)登录的思路
爱拼才会win
05-05 1万+
jwt的规范目前只检测jwt的发布者,过期时间,签名等信息.大部分现成的库都是按照标准写的.但是标准没有要求jwt带入登录时间等信息,因此用户连续登录多次,后台返回的token在有效期内都能访问后台api.也就是用户可以在多个设备同时登录. 有人会采用在登录时将jwt用redis等储存起来,在api的中间件检查时去查数据库中是否储存了这个token,设置过期时间.如果用户再次登录,那么将该tok...
一个账号某一时刻只能在一处登陆
styhm的专栏
11-01 275
一个账号禁止多人使用,如果前一个人登陆了账号A,那么另一个人用账号A登陆将会把前一个人挤掉下线。废话多说,上菜 1.定义一个全局线程安全变量 存放用户最后登陆时间 2.用户登陆时,将用户登陆时间loginTime存在map中(可以用ConcurrentHashMap)key为用户id,value为用户最后登陆时间。 3.登陆过程中,获取session,在session中存放用户登陆时间...
单点登录JWT实现
最新发布
weixin_62773644的博客
05-27 369
如果无效的话请求打回,浏览器自动发起登录请求,此时网关服务器将请求路由到登陆服务上,登陆服务根据用户的信息生成一个JWT令牌,然后返回给网关,网关再返回给浏览器,此时将JWT放到浏览器的cookie中,之后每次请求都会带着cookie中的JWT。在单体项目中,我们登陆之后可以把验证用户信息的值放入session中,单个tomcat中的session是可以共享的。主要是要在每次发起服务请求时经过一个专门用来拦截请求的服务器,这个服务器我们可以当作是网关,然后使用这个服务器来进行校验token是否有效。
Asp.net 实现只能允许一个账号同时只能在一个地方登录
dianzhen5713的博客
07-24 471
先上帮助类: /// <summary> /// 单点登录帮助类 /// </summary> public class SSOHelper { /// <summary> /// 登录后执行 /// </summary> ...
JWT和单点登录
每天都充一点电
09-17 705
JWT和单点登录
技术贴:asp.net实现唯一账户在线 禁止同一帐号同时在线 asp.net实现您的帐号在别处登录,您已被迫下线!...
weixin_30363817的博客
10-24 220
技术要点: Application 全局变量的使用 hashtable 的使用 Session 对应唯一sessionID 标志会话状态 webpage 继承 BasePage的技术 整体比较简单,主要是思想 private void SetOnlineInfo(HttpContext context, string username) { ...
Springboot集成JWT+Redis实现单点登录和同一账号允许一处登录
weixin_43412919的博客
12-21 1万+
功能简述:JWT+Redis实现单点登录功能的同时,也实现同一个账号只能在一台设备上登录实现方式并非是建立长连接,因为长连接是比较消耗系统性能的。这里只是简单的redis方式实现。 什么是单点登录? 单点登录的英文名叫做:Single Sign On(简称SSO)。 在最开始的单体架构(或者说单系统)当中,所有的代码都放在一个项目当中,传统的登录流程是 用户登录—>登录校验(校验用户名密码)—>将用户名等信息放入session当中—>成功登录。 这样就可以从session当中获取用.
.net平台限制同一账号只能一人登录问题;当一账号登录未退出,同一账号再次在另一电脑或浏览器登录后前者会被挤掉线,弹窗提醒
zmc_123的博客
04-18 1673
.net平台限制同一账号只能一人登录问题;当一账号登录未退出,同一账号再次在另一电脑或浏览器登录后前者会被挤掉线,弹窗提醒 该解决方案针对.net MVC框架开发平台 1.在登录成功跳转主页面前调用方法GetOnline(string loginName);记录SessionID private void GetOnline(string Name) { H...
SpringBoot集成Spring Security用JWT令牌实现登录鉴权的方法
08-19
主要介绍了SpringBoot集成Spring Security用JWT令牌实现登录鉴权的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
综上所述,这个项目提供了一个完整的示例,展示了如何在.NET6 Web API中集成JWT鉴权,并通过Swagger进行接口测试。这对于学习和实践Web API的安全开发具有很高的参考价值。开发者可以根据这个模板进行扩展,添加...
详解使用JWT实现单点登录(完全跨域方案
10-16
JSON Web Token(JWT)是一种流行的轻量级身份验证和授权机制,常用于实现单点登录(Single Sign-On, SSO)系统,特别是在完全跨域的场景下。JWT允许用户在多个相关应用或服务之间共享认证信息,而无需多次登录。...
SpringBoot集成SpringSecurity和JWT做登陆鉴权实现
08-19
主要介绍了SpringBoot集成SpringSecurity和JWT做登陆鉴权实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring boot +Spring security4 config 配置同账号登录允许一个在线
ayou_java的博客
12-26 8244
关于网上说的http方式配置无效问题,经验证,有点误导人,并且配置方式感觉过于复杂。 目前这种方式感觉是最简洁的一种方式。 一、核心配置: @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfig extends Web
jwt用户登录 实现用户同时在线数量限制
u012565281的博客
12-08 4227
通常系统都会限制同一个账号登录人数,多人登录要么限制后者登录,要么踢出前者,今天讲的是踢出前者。 JWT(token)存储在Redis中,类似 JSessionId-Session的关系,用户登录后每次请求在Header中携带jwt 比较时间戳 维护一个 username: jwtToken 这样的一个 key-value 在Reids中 拦截器逻辑 package com.gitee.taven.filter; import com.gitee.taven.utils.JWTUt.
如何保证一个系统只有一个用户可以登录(api.service.ts、app.config.ts)
galaxyfanqi的博客
01-12 439
甲乙同时使用同一用户名、密码登录系统。甲先登录,乙后登录,当乙登陆后,在定时器设定时间内,甲登录信息失效!
Spring Boot + Spring Security 防止用户在多处同时登录(一个用户同时只能登录一次)及源码分析
热门推荐
杰明Jamin的博客
01-02 4万+
Spring Boot + Spring Security 防止用户在多处同时登录(一个用户同时只能登录一次)及源码分析,网上很多文章的实现方法写得比较复杂 ,这里介绍一个简单的方法。
springboot的拦截器和限制单一用户登录
不想变咸的淡水鱼
09-11 4163
因为项目使用是用户登录redis缓存一个token,所以当用户在a设备登录时,便缓存了tokenA,这时用户去b设备登录,新缓存了一个tokenB,如果用户使用a设备去请求,token已经失效,从而实现单一设备登录 1 实现接口HandlerInterceptor public class MiniInterceptor implements HandlerInterceptor{ ...
使用 JWT 实现登录功能使用 SpringSecurity做 Token 校验鉴权
03-25
好的,这个问题可以回答。对于实现登录功能,并使用 JWT 实现 Token 校验鉴权的步骤大致如下: 1. 新建一个 Spring Boot 项目,并添加 Spring Security 依赖。 2. 配置 Spring Security,实现登录功能。 3. 在登录成功后生成 Token。 4. 在每个需要验证权限的接口中添加 Token 校验鉴权逻辑。 具体实现细节请参考相关的 Spring Security 和 JWT 文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值