jwt退出登录/修改密码时如何使原来的token失效

最新推荐文章于 2024-08-15 16:16:45 发布
最新推荐文章于 2024-08-15 16:16:45 发布
阅读量1.5w 收藏 9
点赞数 4
分类专栏: SpringBoot学习记录 文章标签: springboot jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42970433/article/details/103170301
版权

21.12.23更新
评论区大佬 @斯文的小远吖 给出的思路:“利用刷新token,生成token时将加密再加密之后的用户密码,存入token,使用refreshToken模式。token5秒过期。refreshToken 2天或者1个月过期或者更长。需要客户端做代码支持,访问接口出现401(token失效时),使用refreshToken去安全平台申领新的token,申领时检测数据库密码加密之后是否复合token中加密再加密之后的用户密码、数据库里用户是否已被封禁等。如若用户密码发生修改,或已被封禁,则拒绝颁发token。给一段关键代码,这是使用oauth2实现的。”

…这是很久很久之前的帖子了,我就不写了,有空下个学期再研究。

其实前端删掉这个Token不就行了吗(小声bb
不行,这样即使退出登录后拿着以前的token还是可以访问到。

看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢?
既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。

第一种办法:
登录第一次生成token时,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退出登录时,删掉数据库里的token。
第二种办法:
这是我可能要采用的方法。
就是退出登录时,改变加密的String JWT_SECRET(我的是这样写)。这样由于生成token的方法变了,即使是相同的用户也不能拥有一样的token了。原来的token失效。
// 很久之后的更新:经评论区指正,这样做会使所有用户的token都失效,我自己就一个用户没考虑这个…

奔跑的废柴
关注
专栏目录
在更改密码和注销使JWT无效的最佳做法?
延宝小白马的博客
06-21 9333
使用刷新令牌: 1. 更改密码:当用户更改密码,请注意用户数据库中的更改密码间,因此当更改密码间大于令牌创建,令牌无效。因此可以很快将其它的会话也给注销掉。 2. 当用户注销:当用户注销,将令牌保存在单独的数据库中(例如:InvalidTokenDB并在令牌过期从Db中删除令牌)。因此,用户从相应的设备注销,他在其他设备中的会话保持不受干扰。 因此,在使J...
JWT的加密解密原理,token登出、改密失效、自动续期
u013733643的博客
03-13 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问,需要携带token,服务端获取token后再去数据库获取token做校验。 JWTtoken认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 2. jwttoken加密解密过程 2.1 生成
处理用户登出并设置Token失效
最新发布
weixin_73060959的博客
08-15 330
在Web应用中,处理用户登出并设置Token失效是一个关键的安全措施。Token(通常指JWT - JSON Web Tokens 或其他类型的认证令牌)是用户身份验证的一种机制,它们允许用户在无需持续向服务器发送用户名和密码的情况下,通过发送一个加密的Token来验证身份。当用户登出,确保Token失效是非常重要的,以防止未授权访问。
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 2420
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6926
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
如何在修改密码修改权限、注销等场景下使JWT失效
wdj_yyds的博客
12-30 4674
大家好,我是不才陈某~ 今天这篇文章介绍一下如何在修改密码修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JW
循序渐进学spring security 第十二篇 修改登录密码后如何让修改前的token失效
huangxuanheng的专栏
08-02 3034
文章目录回顾如何实现用户修改密码,之前的token失效?用户修改密码后,需要重新登录验证密码是否被修改测试功能 回顾 前面我们介绍了《循序渐进学spring security 第十篇 如何用token登录JWT闪亮登场》JWT 生成token的方式生成了登录凭证token,这样客户端只需要在请求接口上添加请求头token,服务端在过滤器中拦截并取出来token值,进行静默登录,但是有一个问题,不知道大家是否有留意到,如果用户修改密码,并且重新登录过系统,而此,如果还是用以前的token,还能继续访
SpringCloud Alibaba 实战 - 如何让 jwt token 主动失效
wdjnb的博客
01-19 3776
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码退出登录后需要将之前的jwt token失效掉,不允许使用token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出修改密码候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud al
jwt token注销_退出登录怎样实现JWT Token失效
weixin_39634997的博客
12-19 8336
退出登录,如果不使JWT Token失效会产生如下2个问题问题1-未过期的token还是可以用要是用户在多个设备登录了,而且本地保存了token。当一个地方丢弃token,但是这个token要是没有过期,那之前token还是可以用的。问题2-多个设备会出现死循环如果我把token存到数据库,当用户退出登录或者修改密码更新token。当用户下次拿着之前的token来认证,找到该用户数据库存的t...
JWT后台实现旧Token失效的问题(添加黑名单方式)
gcglhd的博客
11-30 5963
背景: 在开发设计中涉及到JWT的校验问题,但是发现一个漏洞同也是JWT设计的理念,那就是后端不进行相关的Token存储,后端只进行相关的Token验证,同还有就是token的生成和刷新,那么问题来了,那就是后端校验不会知道是否是最新的token 也就是说,可能已经刷新过了token,但是发现旧的token还没过期,这个候还可以进行使用,在我看来还是有安全风险的,我想要的设计是用户退出登录或者刷新Token后,旧的token要立即失效,这样才够安全,不然一旦被黑客拿到旧的token,那么它就可以..
laravel jwt 做API 退出登录(注销) 该怎么弄? 如何让token失效
dianchanhe0596的博客
04-24 2440
laravel jwt 做API 退出登录(注销) 该怎么弄? 如何让token失效 php框架 laravel 2.1k次浏览 问题对人有帮助,内容完整,我也想知道答案0问题没有实际价值,缺少关键内容,没有改进余地 laravel jwt 做API 退出登录(注销) 该怎么弄? 如何让token失效?百度...
Java令牌Token登录退出的实现
08-19
主要介绍了Java令牌Token登录退出的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringCloud Alibaba 实战 - 如何让 jwt token 失效
BUG指挥课堂
01-24 2980
知识回顾 众所周知,在 OAuth2 体系中认证通过后返回的令牌信息分为两大类:不透明令牌(opaque tokens) 和 透明令牌(not opaque tokens)。 不透明令牌 是一种无可读性的令牌,一般来说就是一段普通的 UUID 字符串。使用不透明令牌资源服务不知道这个令牌是什么,代表谁,需要调用认证服务器校验、获取用户信息。使用不透明令牌采用的是 中心化 的架构。 透明令牌 一般指的是我们常说的JWT Token,用户信息保存在 JWT 字符串中,资源服务器自己可以解析令牌不再需要去
SpringCloud Alibaba 实战:如何让 jwt token 主动失效
Java4396的博客
01-21 1749
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码退出登录后需要将之前的jwt token失效掉,不允许使用token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出修改密码候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud a.
SpringCloud Alibaba微服务实战三十五 - 实现退出登录后注销 jwt token
热门推荐
飘渺Jam的博客
09-15 1万+
大家好,我是飘渺。 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码退出登录后需要将之前的jwt token失效掉,不允许使用token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出修改密码候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud
如何快速让token尽快失效
weixin_45403082的博客
11-02 488
如何快速让token尽快失效 以火狐为例,点击f12,点击菜单栏中的“存储”,点击token一列,修改token的值,回到系统界面,随意点击任意一键将退回到登录界面
SpringSecurity 退出登录/修改密码/重置密码 使JWTtoken失效的解决方案
fenduo的博客
02-26 5009
利用数据库,存放一个token过期的间字段 private LocalDateTime expireTime; 在创建token,标注上创建的间.setIssuedAt(new Date())。 如果这个创建间小于 (修改密码、重置密码退出登录)操作的更新间expireTime,就表示它是修改或者登出之前的token,为过期token token创建间>数据库中的token过期间 ===抛出异常 token失效 1.设置token的创建间 ...
jwt 退出登录 TP6
07-28
在 ThinkPHP 6 中,如果要实现 JWT退出登录功能,你可以按照以下步骤进行操作: 1. 首先,你需要在 `config/jwt.php` 配置文件中设置 JWT 的相关配置,包括密钥、有效期等。 2. 创建一个名为 `Logout` 的控制器,在该控制器中定义一个名为 `index` 的方法,用于处理退出登录的逻辑。在该方法中,你可以执行一些清除用户登录状态的操作,例如删除对应的 JWT token。 ```php <?php namespace app\controller; use think\facade\Request; use think\facade\Cache; use think\jwt\facade\JWTAuth; class Logout { public function index() { $token = Request::header('Authorization'); JWTAuth::invalidate($token); // 使 token 失效 // 清除其他相关的用户登录状态 // ... return ['code' => 200, 'msg' => '退出登录成功']; } } ``` 3. 在路由中定义对应的访问规则,将 `/logout` 请求指向 `Logout` 控制器的 `index` 方法。 ```php // 路由定义示例 Route::post('/logout', 'Logout/index'); ``` 这样,当你发送 POST 请求到 `/logout` 路径,会执行 `Logout` 控制器的 `index` 方法,实现 JWT 退出登录的功能。 请注意,以上代码仅供参考,你还需要根据你的实际业务逻辑进行相应的调整和完善。
评论 22
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值