登录优化------修改密码后,旧的令牌应该失效

于 2024-08-05 16:43:12 发布
阅读量429 收藏 3
点赞数 11
分类专栏: SpringBoot 文章标签: java 开发语言 springboot redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74474809/article/details/140928642
版权

我们以前使用的令牌,修改密码后,旧的令牌仍然可以使用,相当于仍然可以使用旧密码“登录”这很危险。这时候需要使用redis让旧令牌主动失效。

实现思路:

借助redis,当用户登录成功之后,依然需要生成令牌,但这个令牌它在响应给浏览器的同时也需要往redis中存储一份。当浏览器携带着令牌去访问其他资源时,在拦截器这一块不仅要对浏览器携带的令牌进行合法性的校验,还需要从redis中获取一份一摸一样的令牌,如果能获取到就证明浏览器携带的令牌他并没有失效,获取不到则当作失效令牌处理,服务器不再提供服务。有了这个机制,当用户修改密码后,把redis中存储的这个一摸一样的令牌把它删除掉。

 SpringBoot集成redis

  1.        导入spring-boot-starter-data-redis起步依赖

   <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

2.   在yml配置文件中,配置redis连接信息(比如redis服务器的ip地址)

server:
  port: 9090
spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/big_event
    username: root
    password: 123456
  data:
    redis:
      host: localhost
      port: 6379

mybatis:
  configuration:
    map-underscore-to-camel-case: true

 

3.   调用API(StringRedisTemplate)完成字符串的存取操作(在redis的起步依赖中,它会自动的往容器中注入一个stringRedisTemplate对象,如果要使用这个stringRedisTemplate不用手动new,直接从容器中获取就可以了

在test包下新建一个测试RedisTest.java类测试

package org.exampletest;

import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.data.redis.core.ValueOperations;

import java.util.concurrent.TimeUnit;

@SpringBootTest//如果在测试类上添加了这个注解,那么将来单元测试方法执行之前,会先初始化Spring容器
public class RedisTest {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;
    @Test
    public void testSet() {
        //往redis中存储一个键值对 StringRedisTemplate
       ValueOperations<String,String> ops= stringRedisTemplate.opsForValue();
       ops.set("username","张三");
       //存储键值对的时候给它一个过期的时间,这个是15s
       ops.set("id","1",15, TimeUnit.SECONDS);

    }

    public void testGet() {
        //从redis中获取一个键值对
        ValueOperations<String,String> operations= stringRedisTemplate.opsForValue();
        System.out.println(operations.get("username"));

    }
}

 令牌的主动失效

  • 登录成功后,给浏览器响应令牌的同时,把该令牌存储到redis中
   @PostMapping("/login")
    public Result<String> login(@Pattern(regexp="^\\S{5,16}$") String username,@Pattern(regexp="^\\S{5,16}$") String password){
        //根据用户名查询用户名
        User loginUser = userService.findByUserName(username);
        //判断用户是否存在
        if(loginUser==null){
            return Result.error("用户名不存在");
        }
        //判断密码是否正确 loginuser对象中密码是密文
        if(Md5Util.getMD5String(password).equals(loginUser.getPassword())){
            //登录成功
            Map<String,Object>claims = new HashMap<>();
            claims.put("id",loginUser.getId());
            claims.put("username",loginUser.getUsername());
            String token=JwtUtil.genToken(claims);
            //把token存储在redis中
            ValueOperations<String,String>operations = stringRedisTemplate.opsForValue();
            operations.set(token,token,12, TimeUnit.HOURS);
            return Result.success(token);
        }
        return Result.error("密码错误");
    }
  • LoginInterceptor拦截器中,需要验证浏览器携带的令牌,并同时需要获取到redis中存储的与之相同的令牌
package org.exampletest.interceptors;

import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.exampletest.pojo.Result;
import org.exampletest.utils.JwtUtil;
import org.exampletest.utils.ThreadLocalUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import java.util.Map;

@Component
public class LoginInterceptor implements HandlerInterceptor {
    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler){
        //令牌验证
        String token=request.getHeader("Authorization");

        //验证token
        try{
            //从redis中获取相同的token
            ValueOperations<String,String>operations = stringRedisTemplate.opsForValue();
          String redisToken= operations.get("token");
          if(redisToken==null)
          {
              throw new RuntimeException();
          }
            Map<String, Object> claims= JwtUtil.parseToken(token);
            //把业务数据存储到ThreadLocal中
            ThreadLocalUtil.set(claims);
            return true;
        }catch (Exception e){
            response.setStatus(401);
            //不放行
            return false;
        }
    }
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception{
        //移除ThreadLocal中的数据
        ThreadLocalUtil.remove();
    }
}
  • 当用户修改密码成功后,删除redis中存储的旧令牌
@PatchMapping("/updatePwd")
    public Result updatePwd(@RequestBody Map<String,String> params,@RequestHeader("Authorization") String token){
    //1.校验参数,没有提供相应的注解能满足,需要手动校验参数
        String oldPwd=params.get("old_pwd");
        String newPwd=params.get("new_pwd");
        String rePwd =params.get("re_pwd");
        if(!StringUtils.hasLength(oldPwd) || !StringUtils.hasLength(newPwd) || !StringUtils.hasLength(rePwd)){
            return Result.error("缺少必要的参数");
        }
        //原密码是否正确
        //根据用户名查询用户拿到密码
        Map<String,Object> map = ThreadLocalUtil.get();
        String username = (String) map.get("username");
        User loginUser = userService.findByUserName(username);
       if(! loginUser.getPassword().equals(Md5Util.getMD5String(oldPwd))){
           return Result.error("原密码不正确");
       }
       //校验newPwd与rePwd是否一致
        if(!newPwd.equals(rePwd)){
            return Result.error("两次输入的新密码不一致");
        }
    //2.调用service完成密码更新
        Integer id = (Integer) map.get("id");
        userService.updatePwd(newPwd,id);
        //删除redis中对应的token
        ValueOperations<String,String>operations = stringRedisTemplate.opsForValue();
        operations.getOperations().delete(token);

        return Result.success();
    }

方方怪
关注
  • 11
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
大事件后端项目33_登录优化-redis_思路分析
weixin_54048131的博客
12-24 405
大家好,我是爱你三千遍斯塔克,我们在之前开发登录接口的时候,遗忘了一个bug,那就是用户携带的UUID,在用户登录接口修改之后,利用的UUID,仍能够操作,调用相关接口,这可不得了了,万一有一天,有人知道小编的存储的token,利用它误操作小编的图库,把自己珍藏的女神的图片给误删除了,那么小编连哭o(╥﹏╥)o的心情都没有了。 那么如何优化呢?这里涉及到redis方面的知识,小编在这里整理了一份,登录优化-redis_思路分析的资料可供大家参考,希望对大家有帮助:
27-29、redis优化(令牌主动失效机制)-controllert额外添加参数接收请求头、拦截器
m0_45209551的博客
06-25 290
【代码】27-29、redis优化(令牌主动失效机制)-controllert额外添加参数接收请求头、拦截器。
6.【SpringBoot3】登录优化-redis
qq_44378854的博客
01-26 1046
在之前实现的登录接口中,用户登录成功后会生成一个令牌响应给浏览器,之后浏览器访问其他接口时,都要携带该令牌,接受拦截器的检验,如果令牌有效就放行,允许访问后续接口,否则拦截该请求。但是,现在存在一个问题,如果密码泄露了,修改密码再次登录时,原有令牌应该失效的,现在的代码还做不到这一点,拿着修改密码之前的令牌仍然可以访问其他接口,这显然是不合理的。如何才能做到让令牌主动失效呢?此时就需要用到 redis
深入浅出消息队列---6、RabbitMQ高可用
m0_67393295的博客
08-30 214
在使用rabbitmqctl cluster_status命令来查看集群状态时会有[{nodes,[{disc,[‘rabbit@rabbitmqnode01’,‘rabbit@rabbitmq-node02’,‘rabbit@rabbitmq-node03’]}这一项信息,其中的disc标注了Rabbitmq节点类型。Rabbitmq中的每一个节点,不管是单一节点系统或者是集群中的一部分要么是内存节点,要么是磁盘节点。...
登录优化Redis令牌失效
m0_63624728的博客
07-27 327
4.下载redis(课程附件中有),启动redis-server.exe服务(有问题看错误笔记4.),通过redis-cli.exe图形化界面查询,也可以通过java代码测试。我们登录成功时会得到一个令牌,而当我们修改密码重新登录后会得到一个新令牌,但是这时令牌仍然可以使用,这就有很大的安全隐患。5.正式写redis令牌失效机制,在Controller的登录中加上当登录时,将token令牌写入redis,先自动装配。中没有该令牌,则无法登录。来存储令牌,当外界登录时,需要验证令牌是否在。
linux修改密码最短生存时间,Linux基础命令---修改用户密码
weixin_35583709的博客
05-13 719
passwd更改用户密码,超级用户可以修改所有用户密码,普通用户只能修改自己的密码。这个任务是通过调用LinuxPAM和LibuserAPI来完成的。本质上,它使用LinuxPAM将自己初始化为一个“passwd”服务,并利用配置的密码模块对用户的密码进行身份验证和更新。此命令的适用范围:RedHat、RHEL、Ubuntu、CentOS、SUSE、openSUSE、Fedora。1、语法pass...
CDH大数据平台优化---hdfs优化
wjandy0211的博客
10-17 3222
        hdfs作为大数据底层的分布式文件系统,在大数据生态圈中起着很重要的作用,hdfs文件系统的性能直接影响着大数据平台性能。故对hdfs做有效的优化显得尤其重要。现对hdfs优化总结如下: core-default.xml hadoop.common.configuration.version 配置文件的版本。 hadoop.tmp.dir=/tmp/h...
性能优化-学习笔记
qq_36031397的博客
12-07 269
新生代收集器Java垃圾收集齐 SerialGC 单线程收集器,会导致所有的线程停止,一般用于客户端模式运行。Server模式对编译上有了很大的优化新生代收集器ParNewGC 是SerialGC基础上面增加了多线程机制。新生代收集器ParrallelScavengeGC吞吐量优先收集器:吞吐量 = 程序运行时间/ (程序运行时间+GC执行时间) Server模式默认的收集器老年代收集器ParallendOld使用了标记整理算法,
SpingBoot的项目实战--模拟电商【2.登录
m0_74315688的博客
12-28 2432
升级版的登录功能强势来袭!!!
枚举工具类
qq_43049583的博客
08-04 269
java枚举工具类
等待唤醒机制两种实现方法-阻塞队列
泰勒今天想展开的博客
08-04 315
桌子上有面条-》吃货执行桌子上没面条-》生产者制造执行。
深入理解Java注解
weixin_55745942的博客
08-01 659
Java注解是用来描述程序元素(如类、方法、变量等)的一种机制。它们可以提供关于程序的补充信息,帮助编译器、框架或其他工具更好地理解和处理代码。注解通常以符号开头,后跟注解名称和可能的参数。要创建自定义注解,需要使用@interface关键字定义一个接口,并在接口中声明注解的属性。这个注解名为,可以被用来标记方法。它有一个名为value的属性,具有默认值"default"。
社区养老服务小程序的设计
Karen198的博客
07-31 645
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
Springboot+Websocket+Security+Vue 实现弹幕推送功能
Gemini1995的博客
08-01 600
【代码】Springboot+Websocket+Security+Vue 实现弹幕推送功能。
string类的模拟实现(C++)
2302_80190394的博客
08-02 1095
C++ string的功能函数实现
SpringMVC02
2301_78875117的博客
08-02 1032
参数异常/** 自定义异常:参数异常*/private String msg="参数异常";super("参数异常!");super(msg);super("参数异常!");super(msg);return msg;业务异常private String msg="业务异常";super("业务异常!");super(msg);super("业务异常!");super(msg);return msg;
javaweb_03:在ide中配置tomcat
qq_52200849的博客
08-01 201
④创建artifact。②点击加号创建,选择。
java java.util.Date 已知逝去时间怎么求年月日
最新发布
huanghm88的专栏
08-05 230
这样,你就可以得到逝去时间的年月日。需要注意的是,这只是一个简单的方法,不考虑闰年等情况。如果你需要更准确的结果,可以使用其他时间处理库,如Joda-Time或java.time包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值