如何使用jwt 完成注销(退出登录)功能

最新推荐文章于 2024-07-15 03:07:21 发布
最新推荐文章于 2024-07-15 03:07:21 发布
阅读量1.2w 收藏 27
点赞数 8
文章标签: 服务器 前端 运维
原文链接:https://medium.com/devgorilla/how-to-log-out-when-using-jwt-a8c7823e8a6
版权

原文

1_0wYVCel6fH4L93XmBtY8tA.jpeg

神奇的 JSON Web Tokens(JWT)

JSON Web Tokens (JWT) 是一种无状态处理用户身份验证的方法。 什么意思?
JWT帮助建立认证机制而不将身份验证状态存储在任何存储中,无论是会话内存还是数据库,因此, 当检查用户的身份验证状态时,不需要访问会话内存或执行数据库查询。相反, 根据你选择的用户payload生成token 并在客户端的请求中使用它来标识服务器上的用户 🛂

因此,基本上,每当创建token时,就可以永远使用它,或者直到它过期为止。 JWT生成器可以在生成的时候有一个指定过期时间的选项。

不过你想让已经生成的token失效该怎么办呢?当用户注销或者更改密码的时候你该做些什么呢🤔

注销

通常在使用JWT做身份验证时客户端将token储存在某个地方,并将附加到每个需要身份验证的请求上,所以注销的第一件事就是删除储存在客户端上的token(例如 浏览器本地储存)在这种情况下客户端没有了token请求需要认证的接口自然会得到未认证的响应。不过这就够了吗?这个是防君子不防小人的做法实际上在注销之前通过一些手段将token拿到手在注销后依然可以使用!不信的的话可以自己尝试下。
让我们从后台注销token,你可能会说桥豆麻袋这对于jwt来说并不是那么简单,你并不能像删除cookie和session那样来删除token。

实际上,JWT的目的与session不同,不可能强制删除或失效已经生成的token。

Token 过期

是的 Token 可以设置过期。
在生成token时可以指定过期时间,你可以在有效的paylaod中加上exp字段就像这样:

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516234022,
  "exp": 1516239022
}

exp 字段为时间戳,这里的iat字段代表发布时间,此Token设置为在发布后5秒过期⏰。
如果你不想拥有永远有效的Token你应该给你的JWT设置一个合理的到期时间,时间的长短取决于你的应用,我们将在这里使用时长为一天Token,并在登录操作中生成它们,对于NodeJS应用程序,代码应该如下所示:

const jwt = require('jsonwebtoken');
const payload = {
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516234022
}
const token = jwt.sign(payload, 'your-secret', {expiresIn: '1d'})

当这个token过期时验证器会返回一个error,而且后端一旦收到需要授权的请求,就会以未授权的响应状态进行响应。通常,你将从客户端删除令牌并将用户重定向到登录页面。因此,在这个例子中,所有用户在使用你的应用程序1天后将自动注销。

很酷,但我还是想注销!

如前所述,你不能在Token创建后手动使其过期,你实际上不能像使用session那样在服务器端使用JWT注销🙀或者,除非,你可以…
使用JWT应该是无状态的,这意味着你应该将所需的一切存储在payload中,并跳过对每个请求执行DB查询,但是如果你计划有一个严格的注销功能,无法等待Token自动过期,即使你已经从客户端清除了Token,然后你可能需要违背无状态规则并执行一些查询。

有一种实现可能是,存储一个所谓的“黑名单”所有Token是有效的,还没有到期你可以挑选一个拥有TTL功能的数据库,TTL被用于为Token记录Token过期之前剩余的时间量。Redis 是一个很好的选择,这将允许在内存中快速访问列表,然后,在某个中间件中,运行在每个授权请求上,你应该检查提供的令牌是否在黑名单中🕵️‍,如果在的话就抛出一个未认证异常,如果没有让它通过,JWT验证将处理它并确定它是否已过期或仍然有效。

结论

你不能简单地用JWT注销…
似乎,在使用JSON Web令牌时创建干净的注销流程并不那么简单,你应该让Token保持活动状态,直到它自己过期为止;或者,如果你希望在用户注销时限制Token的使用,则选择储存一个Token黑名单。总而言之,只需遵循以下4个要点:

  • 设置令牌的合理过期时间
  • 注销时从客户端删除存储的Token
  • 拥有不再活动Token的数据库,这些Token仍有一些生存时间
  • 针对每个请求根据黑名单查询授权情况
风狗
关注
  • 8
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT身份验证:如何实现注销
Lycode
04-21 1万+
可能的解决方案: 将JWT存储在数据库中。您可以检查哪些令牌有效以及哪些令牌已被撤销,但这在我看来完全违背了使用JWT的目的。 从客户端删除令牌。这将阻止客户端进行经过身份验证的请求,但如果令牌仍然有效且其他人可以访问它,则仍可以使用该令牌。这引出了我的下一点。 令牌生命周期短。让令牌快速到期。根据应用,可能是几分钟或半小时。当客户端删除其令牌时,会有一个很短的时间窗口仍然可以使用它。从客户...
jwt退出登录的解决方案
热门推荐
C4Z的博客
11-05 3万+
jwt退出登录 前言 JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。 { "姓名": "张三", "角色": "管理员", "到期时间": "2018年7月1日0点0分" } 以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。 服务器就...
java jwt退出登录模块的实现
最新发布
weixin_40287378的博客
07-15 62
实现Java JWT退出登录模块的实现 整体流程 在实现Java JWT退出登录模块的过程中,我们需要完成以下步骤: 实现Java JWT退出登录模块的流程#render_9_2672761772-svg{font-family:"trebuchet ms",verdana,arial,sans-serif;font-si...
Spring Cloud实战 | 最七篇:Spring Cloud Gateway+Spring Security OAuth2集成统一认证授权平台下实现注销使JWT失效方案
有来技术
09-27 2351
一. 前言 在上一篇文章介绍 youlai-mall 项目中,通过整合Spring Cloud Gateway、Spring Security OAuth2、JWT等技术实现了微服务下统一认证授权平台的搭建。最后在文末留下一个值得思考问题,就是如何在注销、修改密码、修改权限场景下让JWT失效?所以在这篇文章来对方案和实现进行补充。想亲身体验的小伙伴们可以了解下 youlai-mall 项目和Spring Cloud实战系列往期文章。 youlai-mall项目地址 Spring Cloud实战系列往期文章
Jwt登录退出
10000guo的博客
06-09 1372
【代码】Jwt登录退出
SpringCloud Alibaba微服务实战三十五 - 实现退出登录注销 jwt token(1)
m0_61549353的博客
04-04 1273
1、看视频进行系统学习这几年的Crud经历,让我明白自己真的算是菜鸡中的战斗机,也正因为Crud,导致自己技术比较零散,也不够深入不够系统,所以重新进行学习是很有必要的。我差的是系统知识,差的结构框架和思路,所以通过视频来学习,效果更好,也更全面。关于视频学习,个人可以推荐去B站进行学习,B站上有很多学习视频,唯一的缺点就是免费的容易过时。2、读源码,看实战笔记,学习大神思路“编程语言是程序员的表达的方式,而架构是程序员对世界的认知”。所以,程序员要想快速认知并学习架构,读源码是必不可少的。
搞懂 JWT 这个知识点
程序员成长指北
09-22 653
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
jwt,token生成,续约,注销操作浅谈
u010772230的专栏
12-23 7571
JWT JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案 原理 JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,由客户端来保存登录信息。此后,客户端每次与服务器通信,都要带上这个 JWT。生成的token可以放在HTTP 请求的头信息Authorization字段里面,也可以放在 POST 请求的数据体里面。当然也可以把它放在 Cookie...
Jwt退出登陆
qq_40369277的博客
09-24 1459
我们之前可以使用退出登录接口直接退出,用户Session中的验证信息也会被销毁,但是现在是无状态的,用户来管理Token令牌,服务端只认Token是否合法,那这个时候该怎么让用户正确退出登录呢?这里我们以黑名单机制为例,让用户退出登录之后,无法再次使用之前的JWT进行操作,首先我们需要给JWT额外添加一个用于判断的唯一标识符,这里就用UUID好了。首先我们从最简单的方案开始,我们可以直接让客户端删除自己的JWT令牌,这样不就相当于退出登录了吗,这样甚至不需要请求服务器,直接就退了。
模拟app注销登录
10-12
在移动应用开发中,"模拟app注销登录"是常见的功能需求,主要目的是为了保护用户的账号安全,确保用户在完成操作后能够顺利退出当前会话,返回到登录界面。本demo旨在提供一个简单易懂的实现方式,帮助开发者理解并...
系统登录注销 适合登录注销
09-22
在实际开发中,开发人员会采用各种技术和策略来优化登录注销流程,如使用加密技术保护传输中的敏感信息,实现多因素认证增强安全性,或者利用单点登录(SSO)简化用户登录体验。 在“MyProject”这个项目中,可能...
SpringBoot+Vue+Redis实现单点登录(一处登录另一处退出登录)
08-25
首先,我们要明确需求:当用户在浏览器中登录后,如果在其他地方再次登录,之前登录的页面应该自动退出。这可以通过检查用户在Redis中的登录状态来实现。 **实现思路** 1. **前端**:Vue.js应用中,用户输入用户名...
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架,Sa-Token框架。 jdk使用1.8 mysql 8.0
login:使用spring security的登录机制
06-10
这涉及到`PersistentTokenRepository`,它存储用户的持久化token,以便下次用户访问时,系统可以自动完成登录过程。 6. **异常处理**:如果认证或授权失败,Spring Security会抛出相应的异常,你可以通过自定义`...
jwt token注销_如何在注销时销毁JWT令牌?
weixin_30119251的博客
12-29 1万+
6 个答案:答案 0 :(得分:42)JWT存储在浏览器上,因此删除在客户端删除cookie的令牌如果您还需要在服务器端到期之前使令牌无效,例如帐户已删除/阻止/暂停,密码已更改,权限已更改,用户已由管理员注销,请查看Invalidating JSON Web Tokens一些公共技术,如创建黑名单或旋转令牌答案 1 :(得分:7)创建令牌后,无法手动使令牌失效。因此,实际上无法像在会话中那样在服...
JWT退出登录方法
纠缠AI的亮子
10-29 1万+
JWT 登录之后,服务器发放 token。在到期时间之前,token 一直有效,那么如何才能实现用户登出(让 token 失效)? 黑名单校验 凡是退出登录的token都放入黑名单中,定期清理。 每次用户请求服务器都校验token是否在黑名单 版本号校验 访问时从token中取出版本号和用户id 和 redis中存储 用户id和版本号 做对比,不一致则不给访问。 用户登出的时候在redis中把用户版本号加一。 过期时间校验 登录时token附带创建时间。访问时校验redis存储的过期时间,如果创建时间大于过
一篇文章带你搞定 SpringSecurity 结合Jwt 实现无状态登录
南淮北安的博客
09-14 1190
在前后端分离的项目中,登录策略也有不少,不过 JWT 算是目前比较流行的一种解决方案了,本文就和大家来分享一下如何将 Spring Security 和 JWT 结合在一起使用,进而实现前后端分离时的登录解决方案。 文章目录一、无状态登录1. 什么是有状态 ?2. 什么是无状态 ?3. 如何实现无状态 ?二、JWT1. JWT 简介2. JWT 数据格式3. JWT 交互流程4. JWT 存在的问题三、实战 SpringBoot 整合 JWT 一、无状态登录 1. 什么是有状态 ? 有状态服务,即服务端需要
python token过期_JWT生成token及过期处理方案
weixin_39670857的博客
12-05 3326
业务场景在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。基本思路单个tokentoken(A)过期设置为15分钟前端发起请求,后端验证token(A)是否过期;如果过期,前端发起刷新toke...
jwt token注销_关于JWT用户主动注销、强制登出、忘记密码、修改密码的一些思考...
weixin_39610366的博客
12-19 468
JWT(JSON WEB TOKEN)的特点是无状态,通常用来作为验证登录以及鉴权,在这一方面,JWT体现出了他的优点。然而,如果使用JWT实现,用户主动注销、强制登出(禁止登陆)、忘记密码、修改密码,JWT续签等方面的需求,就会让人头疼。按照网上的一些讨论,我概括如下:1、将每一个签发的JWT保存在REDIS上,当出现上述的需求时,就更新对应的JWT,如果客户端与REDIS中的不同,那么登录失败...
jwt 怎么注销登录
08-22
由于 JWT(JSON Web Token)的特性,它是无状态的,服务器不会存储关于 token 的任何信息。因此,JWT注销并不像传统的会话方式那样直接。但是,你可以通过一些方法来实现类似注销的效果: 1. 客户端删除 token:在客户端应用中,当用户发起注销操作时,你可以清除保存在客户端的 token。这样,客户端将不再发送带有注销的 token 的请求,从而实现注销的效果。 2. token 黑名单:你可以使用一个存储机制(例如 Redis 或数据库)来维护一个 token 黑名单。当用户发起注销操作时,将该 token 添加到黑名单中。在服务器端验证 token 时,先检查该 token 是否在黑名单中。如果是,就拒绝访问。 需要注意的是,这种方式需要在服务端对每个请求进行额外的验证,会增加一些开销。 3. token 过期时间:JWT 的一个重要特性是过期时间(exp)。你可以设置合理的过期时间,让 token 在一段时间后自动失效。这样,在 token 过期后,客户端必须重新获取新的 token 才能进行访问。 这种方式可以在一定程度上实现注销效果,但需要权衡 token 过期时间的设置。 无论采用哪种方式,安全性都是关键。你需要遵循最佳实践,例如使用安全的传输方式、适当设置 token 过期时间、处理 token 存储和清除等。 请注意,JWT 是设计为无法撤销的凭证,因此在某些特定场景下,使用传统的会话机制可能更合适。具体取决于你的应用需求和安全要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值