如何在修改密码、修改权限、注销等场景下使JWT失效?

最新推荐文章于 2024-03-04 16:47:39 发布
最新推荐文章于 2024-03-04 16:47:39 发布
阅读量4.5k 收藏 14
点赞数 1
文章标签: redis java 数据库 Java程序员 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdj_yyds/article/details/122244703
版权

大家好,我是不才陈某~

今天这篇文章介绍一下如何在修改密码修改权限注销等场景下使JWT失效。

文章的目录如下:

解决方案

JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。

但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。

但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JWT行了吧。额,社会本就复杂别再欺骗自己了好么,被你在客户端删掉的JWT还是可以通过服务器端认证的。

使用JWT要非常明确的一点:JWT失效的唯一途径就是等待时间过期

但是可以借助外力保存JWT的状态,这时就有人问了:你这不是打脸吗?用JWT就因为它的无状态性,这时候又要保存它的状态?

其实不然,这不被逼上梁山了吗?不使用外力保存JWT的状态,你说如何实现注销失效?

常用的方案有两种,白名单黑名单方式。

<
最低0.47元/天 解锁文章
Java爱好狂.
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
修改jwt过期时间_服务端实现JWT主动失效
weixin_39777213的博客
01-29 4543
引言使用JWT时,有一个十分头疼问题就是:用户主动注销、强制登出(禁止登陆)、忘记密码修改密码JWT续签、踢出下线时,服务器不能让token主动失效!本文将探索关于这个问题的解决方案。目录:什么是JWTJWT的特点JWT主动失效方案JWT主动失效最佳实践进阶优化总结1.什么是JWTJWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方...
SpringCloud Alibaba 实战 - 如何让 jwt token 主动失效
wdjnb的博客
01-19 3727
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud al
在更改密码注销时使JWT无效的最佳做法?
延宝小白马的博客
06-21 9274
不使用刷新令牌时: 1. 更改密码时:当用户更改密码时,请注意用户数据库中的更改密码时间,因此当更改密码时间大于令牌创建时间时,令牌无效。因此可以很快将其它的会话也给注销掉。 2. 当用户注销时:当用户注销时,将令牌保存在单独的数据库中(例如:InvalidTokenDB并在令牌过期时从Db中删除令牌)。因此,用户从相应的设备注销,他在其他设备中的会话保持不受干扰。 因此,在使J...
什么是JWT的Token认证机制?
weixin_44257023的博客
11-17 819
我们用JWT首先要知道什么是JWT? JSON Web Token(JWT)是一个非常轻巧的规范。 这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 JWT的组成 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部一般用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以 被表示成一个JSON的对象。 {“typ”...
JWT的优缺点及主动失效方案
weixin_45875621的博客
03-12 3677
原因:前后端分离 以前的传统模式下,后台对应的客户端就是浏览器,就可以使用session+cookies的方式实现登录,但是在前后分离的情况下,后端只负责通过暴露的RestApi提供数据,而页面的渲染、路由都由前端完成。因为rest是无状态的,因此也就不会有session记录到服务器端。 优点 JWT的优点是服务端生成之后就不需要在维护JWT,只需要解析即可,省去分布式session方案中需要去数据库查询的时间。 缺点 不易实现JWT的主动失效。 要改变某个用户权限时数据库中用户的权限很容易改变
JWT入门详解
weixin_57504000的博客
05-16 3994
目录 一、JWT简介 1.什么是JWT? 2.为什么要使用JWT? 二、JWT的工作原理 三、JWT的组成 1.Header(头部) 2.Payload(载荷) Reserved claims(保留) Public claims(公有) Private claims(私有) 3.signature 四、JWT的验证过程 五、JWT令牌刷新思路 1.首先前后端跨域配置 2.JWT配置 3.配置JWT验证过滤器 4.登陆方法成功后,将生成的JWT令牌通过响应头返回给客户端 .
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6748
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
JWT 弊端解决思路(主动过期\权限更新)
编程大白菜
08-26 2784
JWT 弊端解决思路(主动过期\权限更新)
安全认证--JWT介绍及使用
weixin_43811057的博客
03-01 1577
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
SQLite数据库 ,实现本地、登录、注册、 修改注销账号、记住密码
02-25
这通常通过生成一个长期有效的会话令牌(JWT或Cookie)来实现,存储在客户端,每次登录时,客户端携带此令牌,服务器通过验证令牌来确认用户身份,而不是每次都要求输入密码。 3. **账号注销**: - **账号删除**:...
基于SpringBoot+JWT+Vue的权限管理系统.zip
06-22
基于SpringBoot+JWT+Vue的权限管理系统源码,基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
OAuth2 提供了四种授权类型:授权码、隐式、密码和客户端凭证,可以根据应用场景选择最合适的授权方式。在Spring Security中,可以集成OAuth2服务器端组件,处理用户授权流程,生成访问令牌。 JWT 是一种轻量级的...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
在现代Web应用开发中,确保用户安全登录和权限管理至关重要。Spring Boot结合Spring Security和JWT(JSON Web Token)提供了一种高效且灵活的解决方案。本文将深入探讨如何使用这些技术来构建用户登录和权限认证系统...
基于springboot+springSecurity+jwt实现的基于token的权限管理
02-24
此外,Spring Security的访问控制可以通过`@PreAuthorize`、`@PostAuthorize`等注解实现,或者在配置类中定义具体的访问规则,比如哪些URL需要用户登录才能访问,哪些操作需要特定的角色权限。 项目的代码结构通常...
细说——JWT攻击
LainWith的博客
01-05 5418
JSON Web Token (JWT) 是一种标准化格式,用于在系统之间发送加密签名的 JSON 数据。它们理论上可以包含任何类型的数据,但最常用于发送有关用户信息的声明,作为身份验证、会话处理和访问控制机制的一部分。与经典会话令牌不同,服务器需要的所有数据都存储在 JWT 本身的客户端中。这使得 JWT 成为高度分布式网站的热门选择,在这些网站中,用户需要与多个后端服务器无缝交互。它一般会放置在、**Cookie**或者请求体里面。
基于 Redis 的 JWT令牌失效方案
最新发布
Mr_VK的博客
03-04 1290
当用户登录状态到登出状态时,对应的JWT的令牌需要设置为失效状态,这时可以使用基于 Redis 的黑名单方案来实现JWT令牌失效
springsecurity实现原理_在Spring Security框架下JWT的实现细节原理
weixin_40005330的博客
11-20 194
一、回顾JWT的授权及鉴权流程在笔者的上一篇文章中,已经为大家介绍了JWT以及其结构及使用方法。其授权与鉴权流程浓缩为以下两句话授权:使用可信用户信息(用户名密码、短信登录)换取带有签名的JWT令牌 鉴权:解签JWT令牌,校验用户权限。具有某个接口访问权限,开放该接口访问。 二、Spring Security授权细节说明我相信大家都能理解上面的授权与鉴权的整体流程,但是具体到使用Spring Se...
springsecurity整合jwt自定义令牌失效机制_Spring Security 整合JWT(四)
weixin_34835470的博客
01-25 189
一、前言本篇文章将讲述Spring Security 简单整合JWT 处理认证授权基本环境spring-boot 2.1.8mybatis-plus 2.2.0mysql 数据库maven项目Spring Security入门学习可参考之前文章:SpringBoot集成Spring Security入门体验(一)Spring Security 自定义登录认证(二)Spring Security 动...
jwt属于无状态验证 如果用户主动注销修改密码 如何让旧的token失效
05-12
JWT 的无状态验证中,服务器不会存储任何有关用户身份验证的状态信息,因此在用户主动注销修改密码等情况下,服务器无法直接让旧的 Token 失效。但是可以通过一些方法来实现让旧的 Token 失效,例如: 1. Token 的过期时间:在生成 Token 时,可以设置 Token 的有效期,在 Token 过期后,服务器将无法接受该 Token,用户需要重新登录并获取新的 Token。 2. 强制下线:当用户注销修改密码时,服务器可以将该用户的状态信息记录在数据库中,并将该用户的 Token 状态设置为无效状态,当用户再次尝试使用该 Token 进行访问时,服务器将返回无效 Token 的错误信息,提示用户重新登录。 3. 利用黑名单:在注销修改密码时,将该用户的 Token 加入黑名单中,服务器在验证 Token 时,先检查该 Token 是否在黑名单中,如果在,则认为该 Token 是无效的。 需要注意的是,以上方法仅仅是让旧的 Token 失效,用户需要重新登录并获取新的 Token,而不能直接强制用户下线。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值