多平台登录APP修改密码后退出登录的Redis实现

最新推荐文章于 2022-11-10 09:56:39 发布
最新推荐文章于 2022-11-10 09:56:39 发布
阅读量1.7k 收藏 1
点赞数
文章标签: Redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_38220981/article/details/88113052
版权

有一款APP,可以多设备平台同时登录,但现在要求只要有一台设备用户密码修改后,所有平台必须强制退出,输入新的密码重新登录。出于用户账号安全考虑,这样的设计是必要且必须的,那么后台具体该如何实现呢?下面讲下我的思路及实现方法。

这个时候首先想到了用Redis,起初的想法很简单,在登录时以用户编号作为key, 随机一个uuidStr,String uuidStr=UUID.randomUUID().toString().replaceAll("-", “”);作为value,在登录时将此key-value 存入Redis,在接口拦截器里过滤掉登录接口,当调用为非登录接口时,用传过来的用户编号作为key去拿Redis里的value,如果拿到的value为空,则对外抛出异常,APP端收到异常状态后控制跳转到登录页。当修改密码时,会清掉Redis里所有key值为用户编号的键值对。这样当修改密码时,所有登录用户就会因为取不到Redis里的value而被跳转到登录页,从而解决问题。

但在实现上却出现了问题,首先,系统里其他业务里已经出现了以用户编号为key的Redis缓存,如果以用户编号清除,会不会影响其他业务?其次,还有个更严重的问题:假如有A和B两个设备登录了小明的账户,其中小明在A设备上修改了密码,此时Redis被清空,但小明又在A设备上重新登录,此时Redis中又存入了以小明用户编号为key的值,B设备去访问其他功能的接口,由于不同设备key没有区分,都是小明的用户编号,所以到了过滤器里仍然能通过Redis校验,去访问其他接口服务,而不会被退出登录。

为了解决这两个问题,我首先把key的生成规则做了改变,原来key=userNbr,现在加上表示渠道的字符串,后面再加上随机生成的uuidStr,比如这个用于修改密码场景,key=“change_pwd_”+userNbr+"_login_"+uuidStr。这样就不会与其他业务的Redis的key值弄混,
同时引入token,即在登录之后会返回一个唯一的loginToken,这个loginToken的值即为Redis的key,代码片段如下:

            String uuidStr=UUID.randomUUID().toString().replaceAll("-", "");
            String loginToken="change_pwd_"+user.getNbr()+"_login_"+uuidStr;
            redisService.addToRedisString(loginToken, uuidStr);
            resModel.setLoginToken(loginToken);

用户每次请求其他接口都会把这个loginToken作为参数传过来。我在接口拦截器里会做校验。代码片段如下:

        /**获得解密报文交易编号*/
		String transcode = securityModel.getTransCode();
		 /**交易编号不为登录交易时*/
        if (StringUtil.isNotEmpty(transcode) && !StringUtil.equals("sysLogin", transcode) ) {
            String loginTokenValue = null;
             /**loginToken不为空时,去Redis取value值*/
            if (!StringUtil.isEmpty(baseReqModel.getLoginToken())) {
                loginTokenValue = redisService.getToStringByKey(baseReqModel.getLoginToken());
            }
			/**loginToken为空或者value为空时,向前端抛异常*/
            if (StringUtil.isEmpty(baseReqModel.getLoginToken())
                || StringUtil.isEmpty(loginTokenValue)) {

                log.error("============loginToken超时,请检查!============");
                PrintWriter out = response.getWriter();
                // 组装报错响应报文
                BaseResModel resModel = new BaseResModel();
                resModel.setResCode(BusinessBaseCode.RETURN_LOGIN_TOEKN_EXPIRED.getCode());
                resModel.setResMsg(BusinessBaseCode.RETURN_LOGIN_TOEKN_EXPIRED.getDesc());
                resModel.setResponseTime(new Date());
                String respMsg = MobileMessageUtil.packageMsg(resModel);
                String respHash = MobileMessageUtil.getMsgHash(respMsg);
                String resp = MobileMessageUtil.packageResp(respMsg, respHash);
                out.print(resp);
                out.flush();
                out.close();
                return false;
            }
        }

这样也确保每台设备登录产生的Key值是唯一的,每台设备的请求因为引入了loginToken,所以也是不同的,此时只要在修改密码时,清除Redis里以"change_pwd_"+user.getNbr()+"_login_"开头的所有key即可。代码片段如下:

			String loginKey="change_pwd_"+user.getNbr()+"_login_";		
			redisService.deleteSimilarStringByKey(loginKey);

这样小明在A设备修改密码后重新登录,B设备在拦截器中的value值是null,会抛出异常,APP会强制跳转到登录页。预期功能实现了。

豆瓣号
关注
运维小技能:配置docker启动的redis密码、设置redis数据持久化
iOS逆向与安全
10-09 661
将容器6379口映射到主机的6379口。设置redis每次开机随docker自启动。为现有的redis 创建密码修改密码密码登录: auth 你的密码。以配置文件的方式启动redis。设置redis数据持久化。进入redis的容器。拉取最新的redis
〖Python 数据库开发实战 - Redis篇②〗- Linux系统下安装 Redis 数据库
热门推荐
易编橙 · 终身成长社群,相遇已是上上签!
09-11 4万+
本来是打算自己在虚拟机下搭建一个 Redis 的环境,顺便总结一下安装的步骤来着。但是环境搭建的文章比比皆是,即使我写出来,也只是一种重复的劳动而已,恰巧看到 [皮卡丘大佬]写了一篇 [猿创征文|redis安装(Linux)] 的文章,内容甚是详细,这里我就借花献佛了。在征得 [皮卡丘大佬]的同意后,直接使用了他的文章。感兴趣的小伙伴,可以按照这个步骤在自己的 Linux 虚拟机安装一下,亲测有效。至于我自己,我还是偷个懒吧
异地(异浏览器)登录登录挤掉先登录账号 java应用
orecle_littleboy的博客
09-06 1940
方法一:比较复杂,在项目比较小没引用消息中间件的情况下且没有redis MyMapSessionId类(采用单例模式,对象有且只有一个,存在的时候不用创建,为空的时候创建对象) 用于用户登入时保存sessionId , 作为后期对同一帐号是否多地登入作工具(如果项目中引用了redis做缓存这个类可以省略) public class MyMapSessionId { private st...
redis实现登录退出代码
05-13
redis实现登录退出代码(包括工具类)
用户自己密码重置后,系统自动退出(total管理开发)
qq_25361331的博客
05-07 1389
/** * 当前登录用户修改自己的密码 * @param user * @param vcpd * @return */ @RequestMapping("updatePwd") @ResponseBody public JSONObject updatePwd(HttpServletRequest reques...
django修改密码强制退出机制
weixin_34138521的博客
09-21 488
2019独角兽企业重金招聘Python工程师标准>>> ...
学生信息管理系统(2更改自己的信息 退出当前账号(更改密码))
loveZyourself
03-22 923
学生信息管理系统 工具eclipse 主要操作登陆,增删查改 2更改自己的信息 退出当前账号(更改密码) Servlet SystemServlet(加上学生列表) private void studentList(HttpServletRequest request,HttpServletResponse response) throws IOException{ try { //RequestDispatcher对象从客户获取请求request,并把它们传递给服务器上的servlet,htm
使用rediss进行登录验证以及token刷新问题
最新发布
Mrs_DongDong的博客
11-10 1679
使用rediss作为登录验证,并且解决token刷新的问题
java不允许多终登录_【小技巧】spring security oauth2 令牌实现多终登录状态同步...
weixin_32009121的博客
02-25 627
目的说明解决不同客户使用token,各个客户登录状态必须保持一致,退出状态实现一致。同上述问题类似如何解决不同租户相同用户名的人员的登录状态问题。默认的DefaultTokenServices 创建逻辑@Transactionalpublic OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) t...
html5实现单点登录,图文并茂,为你揭开“单点登录“的神秘面纱
weixin_39654823的博客
06-08 711
概念单点登录( Single Sign On ,简称 SSO),是目前比较流行的企业业务整合的解决方案之一,用于多个应用系统间,用户只需要登录一次就可以访问所有相互信任的应用系统。前置介绍同源策略 限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互,要求协议,口和主机都相同。HTTP 用于分布式、协作式和超媒体信息系统的应用层协议。HTTP 是无状态协议,所以服务器单从网络连接上无...
CAS方案实现单点登录SSO
java编程学习_java基础教程_booyzhang的博客
07-21 566
一、单点登录SSO 1、什么是单点登陆 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 较大的企业内部,一般都有很多的业务支持系统为其提供相应的管理和IT服务。 例如财务系统为财务人员提供财务的管理、计算和报表服务; 人事系统为人事部门提供全公司人员的维护服务; 各种业务系统为公司内部不同的业务提供不同的服务等等。 这些系统的目的都是让计算机来进行复杂繁琐的计算工作,来
循序渐进学spring security 第十二篇 修改登录密码后如何让修改前的token失效?
huangxuanheng的专栏
08-02 3071
文章目录回顾如何实现用户修改密码,之前的token就失效?用户修改密码后,需要重新登录验证密码是否被修改测试功能 回顾 前面我们介绍了《循序渐进学spring security 第十篇 如何用token登录?JWT闪亮登场》JWT 生成token的方式生成了登录凭证token,这样客户只需要在请求接口上添加请求头token,服务在过滤器中拦截并取出来token值,进行静默登录,但是有一个问题,不知道大家是否有留意到,如果用户修改密码,并且重新登录过系统,而此时,如果还是用以前的token,还能继续访
重新登录修改密码退出登录,关闭之前开的所有Acitvity
lililijunwhy的博客
08-16 2070
跳转到登录Acitvity代码后面加: ActivityCollector.finishAllActivity()
session 修改密码python_django修改密码强制退出机制
weixin_31064353的博客
02-22 483
起因BUG出现系统升级django版本后经常出现自动退出登录问题复现系统升级django(大版本,如1.8、1.11和2.0)后,旧版与新版同时运行,同一各User用旧版authenticate验证后会导致新版中已登录User被退出。正常使用中的登陆、退出和会话保持登录from django.contrib.auth import authenticate, login , logoutdef l...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值