jwt token注销_退出登录时怎样实现JWT Token失效?

最新推荐文章于 2024-09-19 07:50:52 发布
最新推荐文章于 2024-09-19 07:50:52 发布
阅读量8.3k 收藏 13
点赞数 3
文章标签: jwt token注销
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39634997/article/details/111522444
版权

退出登录时,如果不使JWT Token失效会产生如下2个问题

问题1-未过期的token还是可以用

要是用户在多个设备登录了,而且本地保存了token。当一个地方丢弃token,但是这个token要是没有过期,那之前token还是可以用的。

问题2-多个设备会出现死循环

如果我把token存到数据库,当用户退出登录或者修改密码,更新token。当用户下次拿着之前的token来认证时,找到该用户数据库存的token,两个对比一下,如果一样就通过,否则让用户登录。有一个问题,如果这样做,要是有两设备,就死循环了。一个设备登录了,token就会变,导致另一个去登录,然后这个token又失效了,成死循环了。

解决

其实要完美地失效JWT是没办法做到的。

"Actually, JWT serves a different purpose than a session and it is not possible to forcefully delete or invalidate an existing token."

这篇文章写得比较简单易懂:https://medium.com/devgorilla...

有以下几个方法可以做到失效 JWT token:

将 token 存入 DB(如 Redis)中,失效则删除;但增加了一个每次校验时候都要先从 DB 中查询 token 是否存在的步骤,而且违背了 JWT 的无状态原则(这不就和 session 一样了么?)。

维护一个 token 黑名单,失效则加入黑名单中。

在 JWT 中增加一个版本号字段,失效则改变该版本号。

在服务端设置加密的 key 时,为每个用户生成唯一的 key,失效则改变该 key。

weixin_39634997
关注
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
在"Webapi_JWT_Authentication-master"项目中,开发者可能已经实现了以上步骤,包括用户注册、登录接口,JWT的生成和验证,以及基于JWT的授权逻辑。具体实现可能包括使用特定的库,如`System.IdentityModel.Tokens....
jwt退出登录/修改密码如何使原来的token失效
热门推荐
乾坤未定,你我皆是黑马
11-20 1万+
其实前端删掉这个Token不就行了吗(小声bb 不行,这样即使退出登录后拿着以前的token还是可以访问到。 看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢? 既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。 第一种办法: 登录第一次生成token,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退出登录,删掉数据...
WEB安全(十一)退出登录场景下如何使token失效
jinyangjie的博客
02-16 6443
使用token做认证授权,会发现注销登录等场景下token还有效。因为token不同于Session认证方式——用户退出登录,服务端删除对应的Session记录即可。如果不引入其他机制,则退出登录token仍有效,即仍是登录状态,直到token有效间到。 下面介绍几个方案: 1、直接从客户端移除token 显然,这对服务端的安全性没有任何帮助,但是这的确使客户端退出登录,而且通过删除token来阻止攻击者,因为他们必须在注销之前窃取token。 2、创建token黑名单 可以维护一份token黑名
jwt相关问题及应用
最新发布
2401_87196540的博客
09-19 823
它验证的方法其实很简单,只要把header做base64url解码,就能知道JWT用的什么算法做的签名,然后用这个算法,再次用同样的逻辑对header和payload做一次签名,并比较这个签名是否与JWT本身包含的第三个部分的串是否完全相同,只要不同,就可以认为这个JWT是一个被篡改过的串,自然就属于验证失败了。// 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的。// 使用JWT密匙生成的加密key。
JWT后台实现Token失效的问题(添加黑名单方式)
gcglhd的博客
11-30 6065
背景: 在开发设计中涉及到JWT的校验问题,但是发现一个漏洞同也是JWT设计的理念,那就是后端不进行相关的Token存储,后端只进行相关的Token验证,同还有就是token的生成和刷新,那么问题来了,那就是后端校验不会知道是否是最新的token 也就是说,可能已经刷新过了token,但是发现旧的token还没过期,这个候还可以进行使用,在我看来还是有安全风险的,我想要的设计是用户退出登录或者刷新Token后,旧的token要立即失效,这样才够安全,不然一旦被黑客拿到旧的token,那么它就可以..
ThinkPHP6集成JWT方法生成及销毁
qq7027的博客
11-27 2112
ThinkPHP6集成JWT方法生成及销毁
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 2596
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
token清除,退出登录
brillianceGlory的博客
10-13 2095
清除token失败的原因
jwt_token_test.zip
05-21
下面将详细阐述JWT的工作原理、Java实现JWT的步骤以及如何在API接口中进行token认证。 1. JWT 工作原理: JWT由三部分组成,分别是Header(头部)、Payload(负载)和Signature(签名)。头部和负载都是JSON对象,...
JWT Token实现方法及步骤详解
09-07
- 考虑使用刷新令牌(Refresh Token)机制,当 JWT 过期后,用户可以通过刷新令牌获取新的 JWT,而无需重新登录。 在实际项目中,可以创建一个 JWT 服务,封装这些操作,提供生成和验证 JWT 的接口,简化开发流程。...
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者Token过期了,那么禁止访问系统。如果用户一直...
JWT Token生成及验证
07-16
JWT即将过期,用户可以使用刷新Token获取新的JWT,而旧的JWT失效。 8. **JWT在API安全中的应用**:JWT常用于API的身份验证,客户端在请求附带JWT,服务器验证通过后才允许执行相应操作。这种方式减少了...
保存用户登录状态token,以及退出清除登录状态(node/后端设置token返回实现完整流程)
weixin_51935690的博客
05-22 1万+
利用vuex中store进行进行保存 代码如下 import Vue from 'vue' import Vuex from 'vuex' Vue.use(Vuex) export default new Vuex.Store({ state: {//状态从本地获取 token: localStorage.getItem("token") || '' }, //同步修改state里面的值 mutations: { //包含更新多个state函数的对象 SET_TOKE.
jwt token 过期刷新_JWT Token 刷新和作废
weixin_39581652的博客
11-23 1万+
之前一篇文章简单介绍了下JWT的用法,涉及到token的签发和验证。有人说JWT不适合用于替换传统的 session+cookies 机制用于Web应用的用户登录状态维护,很大原因就是这块问题。虽然之前的案例里面,我们可以成功在登录后获取一个Token,然后访问服务器的候带着这个Token,服务器就可以知道当前访问的用户Uid了,假设现在有一下需求:登录后7天不用重复登录超过30天没有访问网站则...
jwt token注销_jwt怎么让token在用户退出登录失效
weixin_39983563的博客
12-19 2538
我最近也在做这个一个解决方案是oauth2 中把JwtTokenStore 改成RedisTokenStore ,然后登出的候清redis另外还是借用的redis用户每次登录生成token,我还是在redis中把这个token存储登出的候清除redis中存储的token,用户再次调用登录候覆盖老token这样每次有请求的候在filter中匹配一下本次请求带入tokentoken一致放行...
JS 退出登录token过期,清除localStorage、sessionStorage
Shelly Long的博客
12-05 5628
localStorage PC浏览器(永久保存) sessionStorage PC浏览器(关闭窗口就删除数据) 操作 1、localStorage.setItem(key,value) 保存数据 2、localStorage.getItem(key) 获取数据 3、localStorage.removeItem(key) 删除数据 4、localStorag...
token的值,退出后清空
Mark Sheng的博客
01-13 1018
登录后在sessionStorage中添加token的值,退出后清空 localStorage 和 sessionStorage 属性允许在浏览器中存储 key/value 对的数据。 sessionStorage 用于临保存同一窗口(或标签页)的数据,在关闭窗口或标签页之后将会删除这些数据。 语法 window.sessionStorage 保存数据语法: sessionStorage.setItem("key", "value"); 读取数据语法: var lastname =
Vue 获取token(设置token,清除token)实现登录
贩梦的博客
04-12 2304
cookie :可设置失效间,否则默认为关闭浏览器后消失 localStorage :除非被手动清除,否则永久保存 sessionStorage:仅在当前网页会话下有效,关闭页面或浏览器后就会被清除
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值