jwt token注销_JWT生成token及过期处理方案

最新推荐文章于 2024-04-08 13:48:55 发布
最新推荐文章于 2024-04-08 13:48:55 发布
阅读量4.3k 收藏 1
点赞数
文章标签: jwt token注销
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34118593/article/details/113393467
版权

## 业务场景

在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。

## 基本思路

- 单个token

1. token(A)过期设置为15分钟

2. 前端发起请求,后端验证token(A)是否过期;如果过期,前端发起刷新token请求,后端设置已再次授权标记为true,请求成功

3. 前端发起请求,后端验证再次授权标记,如果已经再次授权,则拒绝刷新token的请求,请求成功

4. 如果前端每隔72小时,必须重新登录,后端检查用户最后一次登录日期,如超过72小时,则拒绝刷新token的请求,请求失败

- 授权token加上刷新token

用户仅登录一次,用户改变密码,则废除token,重新登录

## 1.0实现

1.登录成功,返回access\_token和refresh\_token,客户端缓存此两种token;

2.使用access_token请求接口资源,成功则调用成功;如果token超时,客户端

携带refresh\_token调用中间件接口获取新的access\_token;

3.中间件接受刷新token的请求后,检查refresh_token是否过期。

如过期,拒绝刷新,客户端收到该状态后,跳转到登录页;

如未过期,生成新的access\_token和refresh\_token并返回给客户端(如有可能,让旧的refresh\_token失效),客户端携带新的access\_token重新调用上面的资源接口。

4.客户端退出登录或修改密码后,调用中间件注销旧的token(使access\_token和refresh\_token失效),同时清空客户端的access\_token和refresh\_toke。

后端表

id user\_id client\_id client\_secret refresh\_token expire\_in create\_date del_flag

## 2.0实现

场景: access\_token访问资源 refresh\_token授权访问 设置固定时间X必须重新登录

1.登录成功,后台jwt生成access\_token(jwt有效期30分钟)和refresh\_token(jwt有效期15天),并缓存到redis(hash-key为token,sub-key为手机号,value为设备唯一编号(根据手机号码,可以人工废除全部token,也可以根据sub-key,废除部分设备的token。),设置过期时间为1个月,保证最

最低0.47元/天 解锁文章
bob jang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt token注销_如何在注销时销毁JWT令牌?
weixin_30119251的博客
12-29 1万+
6 个答案:答案 0 :(得分:42)JWT存储在浏览器上,因此删除在客户端删除cookie的令牌如果您还需要在服务器端到期之前使令牌无效,例如帐户已删除/阻止/暂停,密码已更改,权限已更改,用户已由管理员注销,请查看Invalidating JSON Web Tokens一些公共技术,如创建黑名单或旋转令牌答案 1 :(得分:7)创建令牌后,无法手动使令牌失效。因此,实际上无法像在会话那样在服...
SpringCloud Alibaba 实战 - 如何让 jwt token 主动失效?
wdjnb的博客
01-19 3720
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud al
基于JWTToken删除案例使用拦截器方式实现token鉴权
L__MY的博客
07-18 5069
删除用户功能 需求:删除用户,必须拥有管理员权限,否则不能删除。 前后端约定:前端请求微服务时需要添加头信息Authorization ,内容为Bearer+空格 +token jwtutil工具类 package util; import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebto...
JWT 实现登录认证 + Token 自动续期方案
最新发布
itbigboy的博客
04-08 849
分布式没有兴起之前,大家都是用session实现登录认证,后来分布式项目大火,JWT被大多数人选择。基于session和基于JWT的方式的主要区别就是用户的状态保存的位置,的,而的。
jwttoken生成,续约,注销操作浅谈
u010772230的专栏
12-23 7482
JWT JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案 原理 JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,由客户端来保存登录信息。此后,客户端每次与服务器通信,都要带上这个 JWT生成token可以放在HTTP 请求的头信息Authorization字段里面,也可以放在 POST 请求的数据体里面。当然也可以把它放在 Cookie...
jwt token注销_如何用SpringBoot集成JWT实现token验证及token注销?一招教会你
weixin_39968852的博客
12-19 827
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT 可以使用HMAC算法或者是RSA的公私秘钥对进行签名。JWT 请求流程这里还要注意:光理论是不够的。在此顺便送大家十套20...
fastadmin token 验证错误_基于token机制鉴权架构
weixin_39620037的博客
11-22 1287
常见的鉴权方式有两种,一种是基于session,另一种是基于token方式的鉴权,我们来浅谈一下两种 鉴权方式的区别。两种鉴权方式对比session安全性:session是基于cookie进行用户识别的,cookie如果被截获,用户很容易受到跨站请求伪造的攻击。扩展性:session是有状态的,是具有IP黏贴性和有心化特性的,在分布式环境下,虽然每台服务器业务逻辑一样,但是session是保存在...
JWT Token生成及验证
07-16
JWT即将过期时,用户可以使用刷新Token获取新的JWT,而旧的JWT则失效。 8. **JWT在API安全的应用**:JWT常用于API的身份验证,客户端在请求时附带JWT,服务器验证通过后才允许执行相应操作。这种方式减少了...
JWT Token生成及验证(源码)
04-12
这个"JWT Token生成及验证(源码)"的压缩包文件可能包含了一个示例项目,用于演示如何生成和验证JWT令牌。让我们深入探讨JWT的工作原理以及相关的关键知识点。 1. JWT结构: JWT令牌由三部分组成,用点(.)分隔:...
jwt_token_test.zip
05-21
总之,Java通过jwt_token_test.zip的代码示例,展示了如何使用JWT实现移动端API接口的token认证。这种方式既减少了服务器存储负担,又提供了跨域身份验证的能力,是现代Web应用常见的身份验证解决方案
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
在"Webapi_JWT_Authentication-master"项目,开发者可能已经实现了以上步骤,包括用户注册、登录接口,JWT生成和验证,以及基于JWT的授权逻辑。具体实现可能包括使用特定的库,如`System.IdentityModel.Tokens....
SpringCloud Alibaba微服务实战三十五 - 实现退出登录后注销 jwt token(1)
m0_61549353的博客
04-04 1168
1、看视频进行系统学习这几年的Crud经历,让我明白自己真的算是菜鸡的战斗机,也正因为Crud,导致自己技术比较零散,也不够深入不够系统,所以重新进行学习是很有必要的。我差的是系统知识,差的结构框架和思路,所以通过视频来学习,效果更好,也更全面。关于视频学习,个人可以推荐去B站进行学习,B站上有很多学习视频,唯一的缺点就是免费的容易过时。2、读源码,看实战笔记,学习大神思路“编程语言是程序员的表达的方式,而架构是程序员对世界的认知”。所以,程序员要想快速认知并学习架构,读源码是必不可少的。
jwt token注销_关于JWT用户主动注销、强制登出、忘记密码、修改密码的一些思考...
weixin_33937306的博客
01-27 1393
JWT(JSON WEB TOKEN)的特点是无状态,通常用来作为验证登录以及鉴权,在这一方面,JWT体现出了他的优点。然而,如果使用JWT实现,用户主动注销、强制登出(禁止登陆)、忘记密码、修改密码,JWT续签等方面的需求,就会让人头疼。按照网上的一些讨论,我概括如下:1、将每一个签发的JWT保存在REDIS上,当出现上述的需求时,就更新对应的JWT,如果客户端与REDIS的不同,那么登录失败...
jwt token 过期刷新_JWT Token 刷新和作废
热门推荐
weixin_39581652的博客
11-23 1万+
之前一篇文章简单介绍了下JWT的用法,涉及到token的签发和验证。有人说JWT不适合用于替换传统的 session+cookies 机制用于Web应用的用户登录状态维护,很大原因就是这块问题。虽然之前的案例里面,我们可以成功在登录后获取一个Token,然后访问服务器的时候带着这个Token,服务器就可以知道当前访问的用户Uid了,假设现在有一下需求:登录后7天不用重复登录超过30天没有访问网站则...
token清除,退出登录
brillianceGlory的博客
10-13 1958
清除token失败的原因
JWT-登录Token解决方案
05-03 2703
一、Token解析 1、生成Token 使用一个字符串+失效时间进行生成Token private static final String secret = "1234567"; public static String createToken(String subject){ String token = Jwts.builder().setSubject(subject) .setExpiration(new Date(Syst
asp.net 服务端主动刷新前台_前后端分离——token超时刷新策略
weixin_39639568的博客
11-19 216
前言记录一下前后端分离下————token超时刷新策略!需求场景token失效了,应该怎么做?强制定向到登录页?其实理论上如果是活跃用户,token失效后,假如用户正在操作表单,此时突然定向到登录页面,那用户体验太差了。实现目标延长token过期时间活跃用户在token过期时,在用户无感知的情况下动态刷新token,做到一直在线状态不活跃用户在token过期时,直接定向到登录页登录返回字段如何签发...
从壹开始前后端分离[.netCore 不定期 ] 36 ║解决JWT权限验证过期问题
老张的哲学
11-09 1282
缘起 哈喽,老张的不定期更新的日常又开始了,在咱们的前后端分离的.net core 框架,虽然已经实现了权限验证《框架之五 || Swagger的使用 3.3 JWT权限验证【修改】》,只不过还是有一些遗留问题,最近有不少的小伙伴发现了这样的一些问题,本来想着直接就在原文修改,但是发现可能怕有的小伙伴看不到,就单发一条推送吧,所以我还是单写出一篇文章来说...
JWT实现登陆认证及Token自动续期
Zyw907155124的博客
01-05 1511
更新用户密码时需要重新生成新的token,并将新的token返回给前端,由前端更新保存在local storagetoken,同时更新存储在redistoken,这样实现可以避免用户重新登陆,用户体验感不至于太差。一样的道理,要改变JWT的有效时间,就要签发新的JWT。在实际项目,用户分为普通用户和管理员用户,只有管理员用户拥有删除用户的权限,这一块功能也是涉及token操作的,但是我太懒了,demo工程就不写了。JWT的payload使用的是base64编码的,因此在JWT不能存储敏感数据。
@jwt.token_in_blocklist_loader 不会触发
03-22
@jwt.token_in_blocklist_loader 是 Flask-JWT-Extended 扩展的一个函数,用于检查 JWT token 是否在 blocklist 。如果 token 在 blocklist ,则认为它已经失效,无法再次使用。这个函数只有在使用 JWT token ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值