修改jwt过期时间_服务端实现JWT主动失效

最新推荐文章于 2024-03-04 16:47:39 发布
VIP文章 最新推荐文章于 2024-03-04 16:47:39 发布
阅读量4.4k 收藏 9
点赞数 3
文章标签: 修改jwt过期时间
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39777213/article/details/113410928
版权
bcb8be6389137e25f3ad145d21f2402d.gif引言

使用JWT时,有一个十分头疼问题就是:用户主动注销、强制登出(禁止登陆)、忘记密码、修改密码、JWT续签、踢出下线时,服务器不能让token主动失效!

本文将探索关于这个问题的解决方案。

目录:

  1. 什么是JWT

  2. JWT的特点

  3. JWT主动失效方案

  4. JWT主动失效最佳实践

  5. 进阶优化

  6. 总结

1.什么是JWT

JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

2.JWT的特点

  1. 无状态:JWT包含认证信息,token只需要保存在客户端,服务端不需要保存会话信息,所以JWT是无状态的。这一点使得服务器压力大大降低,增加了系统的可用性和可扩展性。但是无状态同时也是JWT最大的缺点,服务器无法主动让token失效。

  2. 安全性:客户端每次请求都会携带token,可以有效避免CSRF攻击&#

最低0.47元/天 解锁文章
weixin_39777213
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT.zip_jwt_wind speed
09-20
WIND WITH CONSTANT WITH WIND SPEED
spring cloud实战与思考(四) JWT之Token主动失效
weixin_30664051的博客
06-14 1353
需求: JWT泄露、密码重置等场景下,需要将未过期但是已经不安全的JWT主动失效。 本文不再复述JWT的基础知识,不了解的小伙伴可以自行Google一下。这里主要是针对以上需求聊一聊解决方案。如果服务发给客户JWT还在有效期内,但是变得不安全,服务需要及时将这些JWT标识出来并作废掉。相较于session机制,服务JWT的控制要弱很多。JWT一旦签发,就脱离了服务的掌控...
基于 Redis 的 JWT令牌失效方案
最新发布
Mr_VK的博客
03-04 1132
当用户登录状态到登出状态时,对应的JWT的令牌需要设置为失效状态,这时可以使用基于 Redis 的黑名单方案来实现JWT令牌失效
如何在修改密码、修改权限、注销等场景下使JWT失效
wdj_yyds的博客
12-30 4408
大家好,我是不才陈某~ 今天这篇文章介绍一下如何在修改密码、修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务的session删掉就OK了。 但是JWT呢,它是不存在服务的啊,好的那我删存在客户的JW
SpringCloud Alibaba 实战 - 如何让 jwt token 主动失效
wdjnb的博客
01-19 3666
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前直接删除这个token不就完了吗?后啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud al
JWT的优缺点及主动失效方案
weixin_45875621的博客
03-12 3595
原因:前后分离 以前的传统模式下,后台对应的客户就是浏览器,就可以使用session+cookies的方式实现登录,但是在前后分离的情况下,后只负责通过暴露的RestApi提供数据,而页面的渲染、路由都由前完成。因为rest是无状态的,因此也就不会有session记录到服务。 优点 JWT的优点是服务生成之后就不需要在维护JWT,只需要解析即可,省去分布式session方案中需要去数据库查询的时间。 缺点 不易实现JWT主动失效。 要改变某个用户权限时数据库中用户的权限很容易改变
关于分布式系统中jwt token主动过期的方案总结
qq_34776150的博客
12-10 1610
jwt token本是为了解决服务间无状态调用确认调用身份合法性的问题出现的解决方案。其设计是为了去中心化、无状态的设计,无需一个统一的token管理服务。为了解决无法主动过期token的问题,就需要人为引入状态对token进行管理,需要服务记录某些token,这又违背了jwt token的设计初衷。在实际生产中如果有类似需求,我们可以根据实际情况结合每种解决方案的优缺点来选择解决方案。我个人比较推荐黑名单的解决方案,因为其对存储的要求适中,且可以实时使token主动过期生效,提高了系统的安全性。
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 1796
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求时会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多同时登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此时就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
JWT解决思路(主动过期\权限更新)
编程大白菜
08-26 2591
JWT解决思路(主动过期\权限更新)
Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具
09-14
oauth2.0核心加解密工具,里面有详细说明
JWT 实战教程_jwt_
10-01
jwt是什么,如何在springboot中整合jwt
jwt_signed_request:轻松进行请求签名和验证
05-25
JWT签署的请求 使用JWT请求对内部API进行签名和验证。 入门 将此行添加到您的应用程序的Gemfile中: gem 'jwt_signed_request' 然后运行: $ bundle 生成EC密钥 我们应该使用诸如ES256之类的公钥加密算法。 要...
JwtUtil.rar_Jwt签名生成_jwtutil_jwt文件上传
09-20
请勿上传和编程无关的文件 要求上传您自己觉得好的资料
jwt_token的有效时间和刷新时间
wo240的专栏
04-18 8328
有效时间和刷新时间都是固定的 1、token 的有效时间是说签发的 token 仅在 ttl 时间内可以用来正常使用 (鉴权,获取用户信息等操作),过了这个有效时间后,改 token 将被废弃,放入黑名单,路由中间件鉴权也将会失败。 2、刷新时间是指在 refresh_ttl 时间内,你可以使用之前签发的 token (此时已经失效了) 来换取一个新的 token,新的 token 的有效时间还是 ttl。后续的鉴权验证需要使用新的 token 才能正常通过。 用之前即将过期的 t..
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6513
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
如何使JWT失效
T1058253468的博客
07-10 9009
关于使JWT失效问题问题解决思路 最近在弄app接口,使用到JWT来管理token,关于JWT的优点,已经有很多博客介绍了,这里就不啰嗦了,讲一下我碰到的问题及解决方法. 问题 旧token不在服务存储,如何使其失效? 解决思路 用户表维护一个登录时间字段lastLoginDate,每次登录,退出,修改密码都更新此字段, 然后jwt生成时有个签发时间,根据签发时间比对登录时间,如果签发时间...
JWT续期问题,ChatGPT解决方案
全栈行动派的博客
03-04 7590
JWT(JSON Web Token)通常是在用户登录后签发的,用于验证用户身份和授权。JWT 的有效期限(或称“过期时间”)通常是一段时间(例如1小时),过期后用户需要重新登录以获取新的JWT。然而,在某些情况下,用户可能会在JWT到期之前使用应用程序,这可能会导致应用程序不可用或需要用户重新登录。为了避免这种情况,解决方案:刷新令牌(Refresh Token)、自动延长JWT有效期
jwt退出登录/修改密码时如何使原来的token失效
热门推荐
乾坤未定,你我皆是黑马
11-20 1万+
其实前删掉这个Token不就行了吗(小声bb 不行,这样即使退出登录后拿着以前的token还是可以访问到。 看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢? 既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。 第一种办法: 登录第一次生成token时,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退出登录时,删掉数据...
js-cookie设置token过期时间_详解ASP.NET Core Web Api之JWT刷新Token_实用技巧
06-02
好的,针对您的问题,我可以给您一些关于js-cookie设置token过期时间以及ASP.NET Core Web API之JWT刷新Token的实用技巧。 首先,关于js-cookie设置token过期时间,可以通过以下代码实现: ```javascript // 设置cookie过期时间为1天 Cookies.set('token', 'your_token_value', { expires: 1 }); ``` 其中,`expires`属性表示过期时间,单位为天。 其次,关于ASP.NET Core Web API之JWT刷新Token,可以采用以下方法: 在JWT的payload中加入`exp`属性,表示token的过期时间。当token过期后,客户需要向服务器发送请求,获取新的token。服务器对于过期的token,可以返回一个特定的状态码,比如401 Unauthorized。客户接收到该状态码后,可以重新向服务器发送请求,获取新的token。 同时,在服务需要实现一个刷新token的接口,接口的功能是根据旧的token生成新的token。具体实现可以参考以下代码: ```csharp [HttpPost("refresh-token")] public IActionResult RefreshToken([FromBody] string token) { // 验证旧的token是否有效 var principal = _jwtService.GetPrincipalFromExpiredToken(token); if (principal == null) return BadRequest("Invalid token"); // 生成新的token var newToken = _jwtService.GenerateToken(principal.Claims); return Ok(newToken); } ``` 其中,`_jwtService`表示JWT服务类,`GetPrincipalFromExpiredToken`方法用于从过期的token中获取`ClaimsPrincipal`对象,`GenerateToken`方法用于生成新的token。 希望以上内容对您有所帮助。如有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值