SpringSecurity 退出登录使JWT失效的解决方案

最新推荐文章于 2024-08-07 14:37:24 发布
最新推荐文章于 2024-08-07 14:37:24 发布
阅读量6.8k 收藏 24
点赞数 3
分类专栏: 项目实战问题解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suchahaerkang/article/details/108824771
版权

文章目录

项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。

查了下资料,看到以下这段话。

其实要完美地失效JWT是没办法做到的。
“Actually, JWT serves a different purpose than a session and it is not possible to forcefully delete or invalidate an existing token.”
有以下几个方法可以做到失效 JWT token:
1、将 token 存入 DB(如 Redis)中,失效则删除;但增加了一个每次校验时候都要先从 DB 中查询 token 是否存在的步骤,而且违背了 JWT 的无状态原则(这不就和 session 一样了么?)。
2、维护一个 token 黑名单,失效则加入黑名单中。
3、在 JWT 中增加一个版本号字段,失效则改变该版本号。
4、在服务端设置加密的 key 时,为每个用户生成唯一的 key,失效则改变该 key。

最后决定使用Redis建立一个白名单,大体思路如下:

  • 1、生成Jwt的时候,将Jwt Token存入redis中
  • 2、扩展Jwt的验证功能,验证redis中是否存在数据,如果存在则token有效,否则无效
  • 3、实现removeAccessToken功能,在该方法内删除redis对应的key。

一、将Jwt Token存入Redis中

项目中使用的TokenStore为JwtTokenStore,JwtTokenStore的storeAccessToken是个空方法,我实现了方法,在该方法将token存入redis中,代码如下:

@Bean
public TokenStore tokenStore() {
    return new JwtTokenStore(accessTokenConverter()) {
      @Override
      public void storeAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) {
        //添加Jwt Token白名单,将Jwt以jti为Key存入redis中,并保持与原Jwt有一致的时效性
        if (token.getAdditionalInformation().containsKey("jti")) {
          String jti = token.getAdditionalInformation().get("jti").toString();
          redisTemplate.opsForValue().set(jti, token.getValue(), token.getExpiresIn(), TimeUnit.SECONDS);
        }
        super.storeAccessToken(token, authentication);
      }
    };
  }

二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效

实现JwtClaimsSetVerifier,在verify方法中验证Redis中Jwt Token是否过期,代码如下:

public class RedisJwtClaimsSetVerifier implements JwtClaimsSetVerifier {
  ......
  省略部分代码
  ......
  /**
   * 检查jti是否在Redis中存在(即是否过期),如过期则抛异常
   */
  @Override
  public void verify(Map<String, Object> claims) throws InvalidTokenException {
    if (claims.containsKey("jti")) {
      String jti = claims.get("jti").toString();
      Object value = redisTemplate.opsForValue().get(jti);
      if (value == null) {
        throw new InvalidTokenException("无效的令牌");
      }
    }
  }

三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效

客户端退出时,删除客户端存储的token,并调用服务器的接口删除服务器上存储的令牌,删除令牌最终调用的是tokenStore.removeAccessToken方法,所以只要实现该方法,就能达到删除令牌的效果,实现代码如下:

  @Bean
  public TokenStore tokenStore() {
    return new JwtTokenStore(accessTokenConverter()) {
      @Override
      public void storeAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) {
        //添加Jwt Token白名单,将Jwt以jti为Key存入redis中,并保持与原Jwt有一致的时效性
        if (token.getAdditionalInformation().containsKey("jti")) {
          String jti = token.getAdditionalInformation().get("jti").toString();
          redisTemplate.opsForValue().set(jti, token.getValue(), token.getExpiresIn(), TimeUnit.SECONDS);
        }
        super.storeAccessToken(token, authentication);
      }

      @Override
      public void removeAccessToken(OAuth2AccessToken token) {
        if (token.getAdditionalInformation().containsKey("jti")) {
          String jti = token.getAdditionalInformation().get("jti").toString();
          redisTemplate.delete(jti);
        }
        super.removeAccessToken(token);
      }
    };
  }
我是陈旭原
关注
  • 3
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security 6.x 系列【35】认证篇之基于JWT的集成方案
记录知识、锤炼自我
05-06 2237
在云计算、微服务流行的技术架构下,大型项目中的后端服务可能成千上万,用户端不仅仅是浏览器网站,可能还包含移动APP、机器终端等应用,传统的Cookie Session方式可能会面临一些问题。
JWT (JSON Web Token) 立即失效
HakuMaster的博客
07-11 1071
使一个 JWT (JSON Web Token) 立即失效可以通过多种方式实现,取决于具体的实现和系统需求。
自定义spring security oauth2 /oauth/token以及token失效/过期的返回内容格式
热门推荐
qq_37634156的博客
06-12 1万+
在整合Spring Security Oauth2的时候,获取token的接口/oauth/token的返回内容格式为固定的,如下图所示:而token过期或者无效的返回参数格式如下图所示:实际在我们的项目中有时候会要求自定义返回内容格式,下面分别介绍获取tokentoken失效/过期的自定义返回内容格式。 2、创建获取token接口返回值的转换类 创建一个类来完成对获取token接口的返回参数进行转换成我们自定义的格式,这里使用到了@JsonSerialize注解,该注解主要用于数据转换,不知
SpringSecurity 退出登录/修改密码/重置密码 使JWTtoken失效解决方案
fenduo的博客
02-26 4982
利用数据库,存放一个token过期的时间字段 private LocalDateTime expireTime; 在创建token时,标注上创建的时间.setIssuedAt(new Date())。 如果这个创建时间小于 (修改密码、重置密码、退出登录)操作的更新时间expireTime,就表示它是修改或者登出之前的token,为过期token token创建时间>数据库中的token过期时间 ===抛出异常 token失效 1.设置token的创建时间 ...
spring security oauth2(三)
晴天
11-25 191
spring security oauth2 1. OAuth2 介绍 Oauth2.0是Oauth家族延续产品,并不兼容Oauth1.0,相较于Oauth1.0而言更加简单更加安全。 2. OAuth2的应用场景 举个栗子: 假如我们公司开发了一个想美图秀秀的APP,用户登陆我们的APP,要想获取存在QQ空间里面的照片,之前的做法是直接把用户的账号和密码告诉APP,这样当然是可以获取用户空间的...
如何在修改密码、修改权限、注销等场景下使JWT失效
wdj_yyds的博客
12-30 4637
大家好,我是不才陈某~ 今天这篇文章介绍一下如何在修改密码、修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JW
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 2328
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求时会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同时登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此时就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
Spring Cloud实战 | 最七篇:Spring Cloud Gateway+Spring Security OAuth2集成统一认证授权平台下实现注销使JWT失效方案
竹林幽深
10-07 1171
https://blog.51cto.com/u_12386660/4909284
使用Redis来实现JWT令牌主动失效机制
最新发布
2302_79840586的博客
08-07 474
使用Redis来实现JWT令牌主动失效机制。
系统安全功能:系统退出后令牌失效
m0_46464597的博客
01-19 533
通过构建系统的双层安全机制,我们有效地应对了用户退出后令牌的滥用风险。这种机制简单而强大,为Web应用提供了额外的安全保障,使用户退出更具安全性。
记录SpringSecurity+jwt 登录
pan_y95的博客
06-22 768
登录 前言:有的东西久了容易忘记。记录一下。权限暂时不记录。 先了解登录需要做什么 拦截请求,否则登录没有意义了 登录 单点登录? 怎么验证登录 开始 创建springboot项目(单体项目记录轻松一点也好理解分布式了解了单体,在知道一些思路就能配出来) 引入jar包 <!-- security --> <dependency> <groupId>org.springframework.boot</groupId>
Spring Cloud Security 实战,退出登录时如何借助外力使JWT令牌失效
weixin_57907028的博客
01-14 439
今天这篇文章介绍一下如何在修改密码、修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JWT行了吧。额,社会本就复杂
Spring Security使用自定义的用户登录页面导致退出功能异常的原因分析与解决方案
Java大数据联盟
03-20 2307
Spring Security使用自定义的用户登录页面导致退出功能异常的原因分析与解决方案1 问题描述2 问题重现2.1 使用默认的用户登录页面,退出成功2.2 使用自定义的用户登录页面,退出失败3 原因分析3.1 对比两次请求3.2 分析执行原理3.3 分析结果总结4 解决方法4.1 使用POST请求/logout4.2 使用自定义的RequestMatcher4.3 改变默认的RequestM...
【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)
黄团团的个人博客
07-28 5465
最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!
Spring Security并结合JWT实现用户认证(Authentication) 和用户授权(Authorization)
永远热泪盈眶 坚持输出
08-09 5978
引言 在Web应用开发中,安全一直是非常重要的一个方面。Spring Security基于Spring 框架,提供了一套Web应用安全性的完整解决方案JwT (JSON Web Token) 是当前比较主源的Token令牌生成方案,非常适合作为登录和授权认证的凭证。 这里我们就使用 Spring Security并结合JWT实现用户认证(Authentication) 和用户授权(Authorization) 两个主要部分的安全内容。 一、JWT与Aoth2的区别 在此之前,只是停留在用的阶段,对二者的
JWT后台实现旧Token失效的问题(添加黑名单方式)
gcglhd的博客
11-30 5926
背景: 在开发设计中涉及到JWT的校验问题,但是发现一个漏洞同时也是JWT设计的理念,那就是后端不进行相关的Token存储,后端只进行相关的Token验证,同时还有就是token的生成和刷新,那么问题来了,那就是后端校验不会知道是否是最新的token 也就是说,可能已经刷新过了token,但是发现旧的token还没过期,这个时候还可以进行使用,在我看来还是有安全风险的,我想要的设计是用户退出登录或者刷新Token后,旧的token要立即失效,这样才够安全,不然一旦被黑客拿到旧的token,那么它就可以..
springsecurity oauth2.0 自定义退出9
健康平安的活着的专栏
08-15 3001
security默认的退出 Spring security默认实现了logout退出,访问/logout: 实现逻辑: 点击“Log Out”退出 成功。 退出 后访问其它url判断是否成功退出。 二 自定义退出 2.1 配置文件中配置 在WebSecurityConfifig的protected void confifigure(HttpSecurity http)中配置: .and() .logout() .logoutUrl("/logout") .logoutSucc.
Springboot + vue前后端分离后台管理系统(七) -- 引入JWT
qq_36700462的博客
06-10 488
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 相关文章很多。。。 参考:https://www.jianshu.com/p/576
springsecurity整合oauth2 jwt
07-28
Spring Security整合OAuth2 JWT是一种常见的身份验证和授权机制。在整合过程中,需要导入Spring Security和OAuth2的相关依赖\[1\]。同时,需要创建一个JwtTokenEnhancer类,用于向JWT中添加自定义信息\[2\]。在存储token方面,可以选择使用内存模式或者Redis。如果选择使用Redis存储token,需要添加相应的依赖,并修改认证服务配置类\[3\]。这样,就完成了Spring Security整合OAuth2 JWT的简单版本。 #### 引用[.reference_title] - *1* *3* [springsecurity整合oauth2+JWT,数据库配置客户端](https://blog.csdn.net/zifengye520/article/details/125773656)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [spring security oauth2 整合 JWT](https://blog.csdn.net/Qhx20040819/article/details/131310389)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值