使用JWT如何限制账号不能同时在多台设备登录?

已于 2022-10-31 13:34:15 修改
阅读量3.3k 收藏 6
点赞数 3
分类专栏: coding 文章标签: java
于 2022-10-30 00:14:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u800820/article/details/127594175
版权

前期在没有考虑到限制账号不能同时登录多台设备之前,token生成规则就是简单以用户id生成的。

Token续签

目前token失效后的续签是由Redis负责的,实际与JWT无关(只用JWT来生成和销毁token)。
JWT生成token后将其存入Redis中,并设置过期时间为30分钟;增加一个拦截器,每次请求中带着token来到网关时,在拦截器中重置redis中token的过期时间,以此达到续签的效果。

限制多设备登录逻辑
  1. 在浏览器中关闭操作窗口后,立马重新打开登录页面(token在有效期内),点击登录按钮能够重新进入系统;
  2. 更换电脑登录,如果token在有效期内,则提示当前账号已在其他设备登录;
调整实现方式
  • 将用户id、用户类型、用户登录IP等做为用户信息,使用JWT根据用户信息生成token,对用户信息做一次hash(MD5算法),将hash值作为用户key,token作为值存入Redis;
  • 用户进行代理时,系统先根据用户信息做一次hash生成用户key,再根据用户key查询redis里此key是否存在,不存在说明token已失效,则生成新的token进行登录;
  • 若存在则token未失效,接下来从token中解析出IP地址,与当前请求中的IP进行对比1,若一致则认为是来自同一台设备上的操作,否则则认为是用户切换其他设备上进行登录,提示用户已在其他设备登录。

  1. 此处有个问题是同一个网关出口获取到的IP是相同的。 ↩︎

三爷麋了鹿
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot集成JWT+Redis实现单点登录和同一账号只允许在一处登录
qq_31700775的博客
07-11 1570
单点登录的英文名叫做:Single Sign On(简称SSO)。在最开始的单体架构(或者说单系统)当中,所有的代码都放在一个项目当中,传统的登录流程是用户登录—>登录校验(校验用户名密码)—>将用户名等信息放入session当中—>成功登录。这样就可以从session当中获取用户信息来判断是否登录或者登录人是谁后来,我们为了合理利用资源和降低耦合性,于是把单系统拆分成多个子系统。
jwt验证方式下挤下线,token失效,不能重复 功能实现
爱音乐的程序猿的博客
07-16 3210
jwt是一种无状态的身份验证方式,简单来说就是服务器不保存用户的信息状态。用户权限登录信息保存在token里,这样服务器只需要验证jwt token就能获取到用户权限相关信息 但是jwt验证过期只有生成的时候会设置过期时间,要想时之前的token失效可以借助于过滤器和缓存来实现 处理方式有很多种,这里拿spring security举例 重写 ...
springboot实现一个账号同时只能登录一个设备,其他设备登录登录之前登录账号强制下线
最新发布
2301_80333628的博客
06-07 439
这里每次登录的时候不仅会将token返回给前端,同时也会将token存到数据库里。目的就是通过对token的比较判断用户是否已经登录,如果数据库里有token,并且数据库里的token和此次登录的token不一致,说明已经有用户登录过了,此次登录的时候就会更新数据库里的token,之前登录的用户的登录状态就会失效了。因为没有使用redis,使用jwt生成的token也不会存在redis,将登录信息生成token,将生成的token以及用户信息一并返回给前端,前端每次访问后端的接口都会携带token过来。
SpringBootSpringBoot+JWT实现登录权限控制(代码)
sfh2018的博客
07-02 4191
项目使用springboot+jwt实现权限控制,在此记录一下防止以后忘记。 一、准备LoginUser 和JwtUser LoginUser.java public class LoginUser { private Integer userId; private String username; private String password; private ...
Spring cloud Oauth2 使用redis作为token存储,防止统一用户多浏览器登录
不会游泳的鱼的博客
04-02 1763
问题描述: 在使用jwt生成token并且使用redis作为tokenStore的时候,需要防止单个用户单客户端多个浏览器同时登录的情况下通过重写 DefaultTokenServices token生成工具来满足需求 只需要注释掉一个判断语句即可 代码如下: @Transactional public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationEx
springboot 整合 JWT 和请求拦截,实现利用 token 做请求安全拦截校验,且实现阻止并发登录
Johnson_7的博客
09-15 3037
springboot 整合 JWT 和请求拦截,实现利用 token 做请求安全拦截校验,且实现阻止并发登录
springSecurity+jwt中实现互踢功能
jockha的博客
11-24 1843
一.思路: 原来的实现用户登录态是: 1.后台登陆成功后生成一个令牌(uuid)----JwtAuthenticationSuccessHandler 2.后台把它包装成jwt数据,然后返回给前端—JwtAuthenticationSuccessHandler 3.后台把它加入redis缓存中,并设置失效时间----JwtAuthenticationSuccessHandler 4.前端调用接口时,带入jwt 5.后台写个拦截器或者过滤器,在前端调用接口的时候,从request的header中获取jwt,在
jwt token长度限制_OAUTH.令牌存储介绍以及JWT实现强制登出、登录个数控制
weixin_39755873的博客
11-29 1869
1、令牌存储介绍TokenStore的实现类,有InMemoryTokenStore、JdbcTokenStore、JwkTokenStore、RedisTokenStore。1.1 基于内存的 InMemoryTokenStore优点:单机、简单易用缺点:a) 重启服务器导致令牌全部丢失,用户需要重新授权。 b) 微服务、分布式系统中无法共享令牌信息。1.2 基于数据库的 JdbcTokenSt...
基于Redis无序集合如何实现禁止多端登录功能
12-16
前言 一个集合类型可以存储最多2^32 -1 个字符串 集合类型在redis内部使用值为空的散列表(hash table)实现,所以集合中的加入或删除元素等时间复杂度为O(1)。 集合具有元素唯一性。 本文主要给大家介绍了基于Redis无序集合实现禁止多端登录的相关内容,下面话不多说了,来一起看看详细的介绍吧 应用背景 多个应用端假设名称叫做A和B,禁止用户从A B同时登录,A登录踢B,B登录踢A 实现思路 设置两个无序集合a_set, b_set a b 登录的时候执行 $redis->sAdd('a_set',$user_id);//A登录 $redis->sRem('
Spring Security+JWT+OAuth2实现同一账号重复登录时第一次登陆成功的强制下线(包括多平台使用同一个登陆系统的)
m0_53559551的博客
07-08 3462
引言 我们后台项目是用Spring Security+JWT+OAuth2做的安全框架,现在有个需求就是同一账号重复登录时第一次登陆成功的强制下线。尝试了很多方法无果,当时真的是被弄得焦头烂额了。最后功夫不负有心人,最后找到了解决方案,下面跟大家分享下。 单平台 具体实现方案就是重写DefaultTokenServices的createAccessToken方法(下发token的方法) 虽说是重写但是我们新建了一个SingleTokenServices类,将DefaultTokenServices中的方法复
使用JWT控制登录鉴权的项目如何实现单个账号只允许在一处登录的功能
热门推荐
francis的博客
03-18 1万+
使用JWT控制登录鉴权的项目如何实现单个账号只允许在一处登录的功能,也就是说在登录状态未失效的情况下,下一次登录必须踢掉上一次的登录。如果我们不做限制的话,单个账号多次登录就会产生多个token,只要未过期就都能调用接口。可能第一反应会想,用JWT实现token手动强行过期,然而JWT并未提供此功能,那么我们在项目中应该如何优雅的解决这个问题呢?<继上篇> 使用redi...
利用Token机制解决重复重复提交
03-07
利用Token机制解决重复重复提交
报修小程序 源码 后台账号和密码 在压缩文件中
01-03
【标题】中的“报修小程序 源码 后台账号和密码 在压缩文件中”表明这是一个关于报修服务的小程序源代码,其中包含了后台管理系统的登录凭证。开发者或者技术团队可以通过这些源代码来理解、修改或扩展这个小程序的...
restrict-multiple-signin-for-same-user:此模块限制同一用户从不同的机器设备同时登录
05-12
我们可以看出"restrict-multiple-signin-for-same-user"模块是利用Python及其相关库,结合会话管理、设备识别和状态监测等技术,来提高Web应用的安全性,防止同一用户账号被恶意或意外地在多个设备上同时登录。...
苹果登录使用Apple服务端验证登录-JAVA源码
01-20
当用户在APP端使用Apple ID登录时,iOS设备会通过安全的Apple服务器与开发者服务器交互,获取一个经过签名的JWT。这个JWT包含了用户的唯一标识符、电子邮件(如果用户同意分享)和其他必要的信息。 1. **Apple ID...
Spring Security 自动踢掉前一个登录用户的实现代码
08-19
例如,某些应用程序可能不允许用户同时在两台设备登录。那么,我们如何使用 Spring Security 来实现这个功能呢? 实现方法 Spring Security 提供了两种实现方法来限制用户登录:踢掉已经登录用户和禁止新的登录...
同一个账号,同一时间只能允许他登录一次
12-03
5. 对于多线程环境,要注意session的并发控制,确保在多用户同时操作时不会出现数据冲突。 6. 为了防止session hijacking(会话劫持),可以在session中加入额外的安全信息,比如IP地址、User-Agent等,这样即使有...
JWT+Redis实现限制多用户同时登录一个账号限制账号并发数。
as1043682467的博客
12-28 6303
导航项目场景:问题描述:解决思路:后端解决方案代码:JWT实现鉴权中心,写成服务注入IOC容器中Redis写成服务注入IOC容器中使用signalR进行websocket通信登录控制器引用上述服务前端解决方案代码最终效果总结 项目场景: web\小程序。限制账户同时在线、登录。或者限制账户并发数 项目环境:asp.net core 3.1 API+redis+jwt +微信小程序 问题描述: 我们经常可以看到一些软件无法同时登录同一个账号,也就是同时只能有一个用户使用这个账号。或者另一种情形,限制用户并
pring boot +jwt 用户在多处同时登录
09-06
Spring Boot + JWT 可以实现用户在多处同时登录的功能。 JWT(JSON Web Token)是一种用于身份认证和授权的开放标准,其主要原理是通过生成一个token来代表用户身份,服务器通过解析和验证token来确定用户的身份和权限。 要实现用户在多处同时登录,可以通过以下步骤进行操作: 1. 用户登录时,服务器验证用户的用户名和密码是否正确,如果正确则生成一个JWT token,并将该token返回给用户。 2. 用户在其他地方登录时,服务器同样验证用户名和密码的正确性,如果正确则生成一个新的JWT token,并将该token返回给用户。 3. 客户端保存最新的JWT token,并在每次请求时将该token放入HTTP请求的Header中,作为身份认证的凭证。 4. 服务器在接收到请求时,验证JWT token的有效性和合法性,包括验证签名、验证过期时间等。 5. 如果一个用户的token已经过期或者用户在其他地方重新登录了,服务器会拒绝使用旧的token进行访问,同时要求用户重新登录获取新的token。 通过这种方式,用户可以在多个地方同时登录,并且服务器可以判断每个token的有效性,实现多处登录的功能。 需要注意的是,为了保证安全性,建议在生成JWT token时加入一些额外的信息,例如IP地址、浏览器信息等,来辨别不同设备登录情况,并在验证token时进行比对。 以上就是使用Spring Boot + JWT实现用户在多处同时登录的简要解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值