jwt token注销_退出登录时怎样实现JWT Token失效?

最新推荐文章于 2024-06-08 09:33:03 发布
最新推荐文章于 2024-06-08 09:33:03 发布
阅读量8.2k 收藏 13
点赞数 3
文章标签: jwt token注销
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39634997/article/details/111522444
版权

退出登录时,如果不使JWT Token失效会产生如下2个问题

问题1-未过期的token还是可以用

要是用户在多个设备登录了,而且本地保存了token。当一个地方丢弃token,但是这个token要是没有过期,那之前token还是可以用的。

问题2-多个设备会出现死循环

如果我把token存到数据库,当用户退出登录或者修改密码,更新token。当用户下次拿着之前的token来认证时,找到该用户数据库存的token,两个对比一下,如果一样就通过,否则让用户登录。有一个问题,如果这样做,要是有两设备,就死循环了。一个设备登录了,token就会变,导致另一个去登录,然后这个token又失效了,成死循环了。

解决

其实要完美地失效JWT是没办法做到的。

"Actually, JWT serves a different purpose than a session and it is not possible to forcefully delete or invalidate an existing token."

这篇文章写得比较简单易懂:https://medium.com/devgorilla...

有以下几个方法可以做到失效 JWT token:

将 token 存入 DB(如 Redis)中,失效则删除;但增加了一个每次校验时候都要先从 DB 中查询 token 是否存在的步骤,而且违背了 JWT 的无状态原则(这不就和 session 一样了么?)。

维护一个 token 黑名单,失效则加入黑名单中。

在 JWT 中增加一个版本号字段,失效则改变该版本号。

在服务端设置加密的 key 时,为每个用户生成唯一的 key,失效则改变该 key。

weixin_39634997
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
在"Webapi_JWT_Authentication-master"项目中,开发者可能已经实现了以上步骤,包括用户注册、登录接口,JWT的生成和验证,以及基于JWT的授权逻辑。具体实现可能包括使用特定的库,如`System.IdentityModel.Tokens....
JWT的加密解密原理,token登出、改密失效、自动续期
u013733643的博客
03-13 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问,需要携带token,服务端获取token后再去数据库获取token做校验。 JWTtoken认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 2. jwttoken加密解密过程 2.1 生成
jwt退出登录/修改密码如何使原来的token失效
热门推荐
乾坤未定,你我皆是黑马
11-20 1万+
其实前端删掉这个Token不就行了吗(小声bb 不行,这样即使退出登录后拿着以前的token还是可以访问到。 看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢? 既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。 第一种办法: 登录第一次生成token,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退出登录,删掉数据...
推荐开源项目:FastAPI JWT Auth - 安全、易用的JWT认证库
最新发布
gitblog_00044的博客
06-08 743
推荐开源项目:FastAPI JWT Auth - 安全、易用的JWT认证库 项目地址:https://gitcode.com/IndominusByte/fastapi-jwt-auth 在开发Web应用,安全性是至关重要的,特别是在涉及用户身份验证和授权。这就是为什么我们想要向您推荐一个名为FastAPI JWT Auth的开源项目,它是一个为FastAPI框架设计的强大而轻量级的JWT(...
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6733
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
WEB安全(十一)退出登录场景下如何使token失效
jinyangjie的博客
02-16 6171
使用token做认证授权,会发现注销登录等场景下token还有效。因为token不同于Session认证方式——用户退出登录,服务端删除对应的Session记录即可。如果不引入其他机制,则退出登录token仍有效,即仍是登录状态,直到token有效间到。 下面介绍几个方案: 1、直接从客户端移除token 显然,这对服务端的安全性没有任何帮助,但是这的确使客户端退出登录,而且通过删除token来阻止攻击者,因为他们必须在注销之前窃取token。 2、创建token黑名单 可以维护一份token黑名
JWT后台实现Token失效的问题(添加黑名单方式)
gcglhd的博客
11-30 5816
背景: 在开发设计中涉及到JWT的校验问题,但是发现一个漏洞同也是JWT设计的理念,那就是后端不进行相关的Token存储,后端只进行相关的Token验证,同还有就是token的生成和刷新,那么问题来了,那就是后端校验不会知道是否是最新的token 也就是说,可能已经刷新过了token,但是发现旧的token还没过期,这个候还可以进行使用,在我看来还是有安全风险的,我想要的设计是用户退出登录或者刷新Token后,旧的token要立即失效,这样才够安全,不然一旦被黑客拿到旧的token,那么它就可以..
ThinkPHP6集成JWT方法生成及销毁
qq7027的博客
11-27 2061
ThinkPHP6集成JWT方法生成及销毁
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 2163
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
token清除,退出登录
brillianceGlory的博客
10-13 1970
清除token失败的原因
jwt_token_test.zip
05-21
下面将详细阐述JWT的工作原理、Java实现JWT的步骤以及如何在API接口中进行token认证。 1. JWT 工作原理: JWT由三部分组成,分别是Header(头部)、Payload(负载)和Signature(签名)。头部和负载都是JSON对象,...
JWT Token实现方法及步骤详解
09-07
- 考虑使用刷新令牌(Refresh Token)机制,当 JWT 过期后,用户可以通过刷新令牌获取新的 JWT,而无需重新登录。 在实际项目中,可以创建一个 JWT 服务,封装这些操作,提供生成和验证 JWT 的接口,简化开发流程。...
JWT Token生成及验证
07-16
JWT即将过期,用户可以使用刷新Token获取新的JWT,而旧的JWT失效。 8. **JWT在API安全中的应用**:JWT常用于API的身份验证,客户端在请求附带JWT,服务器验证通过后才允许执行相应操作。这种方式减少了...
JWT_TOKEN_Application_DOTNET
03-27
JWT_TOKEN_Application_DOTNET 是一个基于C#开发的项目,主要关注于JSON Web TokenJWT)在.NET环境中的应用。JWT是一种轻量级的身份验证和授权机制,广泛用于Web应用程序,尤其是API接口的安全认证。这个项目可能...
保存用户登录状态token,以及退出清除登录状态(node/后端设置token返回实现完整流程)
weixin_51935690的博客
05-22 1万+
利用vuex中store进行进行保存 代码如下 import Vue from 'vue' import Vuex from 'vuex' Vue.use(Vuex) export default new Vuex.Store({ state: {//状态从本地获取 token: localStorage.getItem("token") || '' }, //同步修改state里面的值 mutations: { //包含更新多个state函数的对象 SET_TOKE.
jwt token 过期刷新_JWT Token 刷新和作废
weixin_39581652的博客
11-23 1万+
之前一篇文章简单介绍了下JWT的用法,涉及到token的签发和验证。有人说JWT不适合用于替换传统的 session+cookies 机制用于Web应用的用户登录状态维护,很大原因就是这块问题。虽然之前的案例里面,我们可以成功在登录后获取一个Token,然后访问服务器的候带着这个Token,服务器就可以知道当前访问的用户Uid了,假设现在有一下需求:登录后7天不用重复登录超过30天没有访问网站则...
jwt token注销_jwt怎么让token在用户退出登录失效
weixin_39983563的博客
12-19 2481
我最近也在做这个一个解决方案是oauth2 中把JwtTokenStore 改成RedisTokenStore ,然后登出的候清redis另外还是借用的redis用户每次登录生成token,我还是在redis中把这个token存储登出的候清除redis中存储的token,用户再次调用登录候覆盖老token这样每次有请求的候在filter中匹配一下本次请求带入tokentoken一致放行...
JS 退出登录token过期,清除localStorage、sessionStorage
Shelly Long的博客
12-05 5506
localStorage PC浏览器(永久保存) sessionStorage PC浏览器(关闭窗口就删除数据) 操作 1、localStorage.setItem(key,value) 保存数据 2、localStorage.getItem(key) 获取数据 3、localStorage.removeItem(key) 删除数据 4、localStorag...
JWT Token实现与用户登录验证详解
在现代Web应用程序中,后台用户登录-Token模块是一个关键的安全组件,用于实现基于JSON Web Token (JWT) 的用户身份验证。JWT 是一种轻量级的身份凭证,它被设计为在客户端和服务端之间传输,允许用户在不暴露敏感...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值