8.3JWT提前撤回

最新推荐文章于 2023-09-21 10:34:19 发布
最新推荐文章于 2023-09-21 10:34:19 发布
阅读量515 收藏
点赞数
分类专栏: .Net Core 文章标签: 服务器 数据库 asp.net 缓存 c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44064908/article/details/126563133
版权

8.3JWT提前撤回

当遇到用户被删除、用户在另一个设备上登陆等场景需要将JWT提前撤回,但是JWT是保存在客户端,无法在服务器中进行删除。

解决思路是在用户表中增加一列JWTVersion,用来存储最后一次发放出去的令牌版本号,每次登陆、发放令牌的时候都让JWTVersion自增,当服务器收到客户端提交的JWT后,将客户端的JWTVersion和服务器的进行比较,如果客户端的值小于服务器中的值则过期。

实现步骤:

  1. 为实体类User增加一个long类型的属性JWTVersion
  2. 修改产生JWT的代码,实现JWTVersion自增
user.JWTVersion++;
await userManager.UpdateAsync(user);//更新数据库
var claims = new List<Claim>();
claims.Add(new Claim(ClaimTypes.NameIdentifier, user.Id.ToString()));
claims.Add(new Claim(ClaimTypes.Name, user.UserName));
claims.Add(new Claim(ClaimTypes.Version, user.JWTVersion.ToString()));//增加该信息
  1. 编写筛选器,统一实现对所有控制器操作方法中JWT的检查工作
public class JWTValidationFilter : IAsyncActionFilter
{
    private IMemoryCache memCache;
    private UserManager<User> userMgr;

    public JWTValidationFilter(IMemoryCache memCache, UserManager<User> userMgr)
    {
        this.memCache = memCache;
        this.userMgr = userMgr;
    }

    public async Task OnActionExecutionAsync(ActionExecutingContext context, ActionExecutionDelegate next)
    {
        var claimUserId = context.HttpContext.User.FindFirst(ClaimTypes.NameIdentifier);//查询用户信息
        //对于登录接口等没有登录的,直接跳过
        if (claimUserId == null)
        {
            await next();
            return;
        }
        long userId = long.Parse(claimUserId!.Value);
        //放到内存缓存中
        string cacheKey = $"JWTValidationFilter.UserInfo.{userId}";
        User user = await memCache.GetOrCreateAsync(cacheKey, async e => {
            e.AbsoluteExpirationRelativeToNow = TimeSpan.FromSeconds(5);
            return await userMgr.FindByIdAsync(userId.ToString());
        });
        if (user == null)//为查找到用户,可能已经别删除
        {
            var result = new ObjectResult($"UserId({userId}) not found");
            result.StatusCode = (int)HttpStatusCode.Unauthorized;
            context.Result = result;
            return;
        }
        var claimVersion = context.HttpContext.User.FindFirst(ClaimTypes.Version);
        //jwt中保存的版本号
        long jwtVerOfReq = long.Parse(claimVersion!.Value);
        //由于内存缓存等导致的并发问题,
        //假如集群的A服务器中缓存保存的还是版本为5的数据,但客户端提交过来的可能已经是版本号为6的数据。因此只要是客户端提交的版本号>=服务器上取出来(可能是从Db,也可能是从缓存)的版本号,那么也是可以的
        if (jwtVerOfReq >= user.JWTVersion)
        {
            await next();
        }
        else
        {
            var result = new ObjectResult($"JWTVersion mismatch");
            result.StatusCode = (int)HttpStatusCode.Unauthorized;
            context.Result = result;
            return;
        }
    }
}
  1. 注册
services.Configure<MvcOptions>(opt=>{
    opt.Filters.Add<JWTValidationFilter>();
})
步、步、为营
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT提前撤回
qq_24769781的博客
06-13 86
当遇到用户被删除或者用户在另一个设备上登陆等场景时需要将JWT提前撤回,但是JWT是保存在客户端,无法在服务器中进行删除。:是在用户表中增加一列JWTVersion,用来存储最后一次发放出去的令牌版本号,每次登陆、发放令牌的时候都让JWTVersion自增,当服务器收到客户端提交的JWT后,将客户端的JWTVersion和服务器的进行比较,如果客户端的值小于服务器中的值则过期。
JWT的学习(3)之解决JWT无法提前撤回的难题
qq_71012549的博客
01-10 311
再如,用户在 A设备上登录了,稍后又在B设备上登录了,我们就需要把用户在 A设备上登录获得的 JWT 撤回,否则就会出现用户同时在多个设备上登录的问题。当服务器端收到客户端提交的JWT后,先把JWT 中的 JWTVersion 值和数据库中的 JWTVersion 值做比较,如果JWTJWTVersion的 值小于数据库JWTVersion 的值,就说明这个 JWT 过期了,这样我们就实现了 JWT撤回 机制。第三步:编写一个操作筛选器,统一实现对所有的控制器的操作方法中JWT令牌的检查操作。
.net core中过滤器JWT提前撤回
weixin_43632687的博客
02-19 334
我们都知道JWT是一个无状态的,存储在客户端,服务端无法提前撤回。这里的解决思路是生成JWT时,给一个版本号,用户再次登录时,版本号加一,当用户使用旧的JWT登录的时候,会比对数据库中存储的version以及JWT中的version,假如不一样则登录失败 本文使用Identity实现RBAC 给用户表添加JWTVersion字段 using Microsoft.AspNetCore.Identity; namespace EFCoreJWT { public class MyUser: Ide
JWT无法撤回问解决
weixin_57062986的博客
08-11 52
var result = new ObjectResult($"jwtversion mismatch,如:在其他地方登录");3.添加行为拦截器判断当前用户jwtversion与数据中jwtversion大小,如果数据的jwtversion大于当初用户,则用户登陆失效。return ResultHelper.Error("用户名或密码错误");2.用户每登陆一次JWTVersion自动加一,并保存在数据库中且加入到jwt生成的token中;在jwt生成中:加入JWTversion。
JWT 令牌撤销:中心化控制与分布式Kafka处理
09-21 447
撤销的令牌存储在内存中,在合适的数据结构中定位令牌是一个快速的过程(如果我们使用 HashMap,它将是O(1))。当访问令牌的生命周期到期并且用户收到401 Unauthorized响应时,他们应该请求/refresh-token端点,将刷新令牌值作为参数传递,并接收新的访问令牌/刷新令牌对作为响应。在最坏的情况下,令牌泄露后,它的有效期还有 15 分钟,之后它将exp小于当前时间,并且令牌将被任何微服务拒绝。令牌被撤销的时间与微服务使用和处理撤销消息的时间之间可能存在轻微的延迟。
浅谈 asp.net core JWT 无法撤回的难题
q8812345qaz的博客
10-11 384
假如 在 客户端1进行 登录 2次,数据库中的version 就变为 2。如果在 客户端2中在进行 登录一次,然后 version记录会 变为 3次,重点来了,笔者 通过 当前的客户端 用户 的 version 与 数据库中的 version 记录做 比较,如果 当前客户端用户的 version < 数据库中的version记录,那么 就可以认为 这条 JWT失效,如果注销用户,也自动再加1次,这个正好 可以 解决上面 提到的问题。然后在使用 ActionFilter 进行 过滤。我们来合理的 分析下。
JWT爆破篡改工具-离线
最新发布
04-03
从爆破到篡改,完美闭环
JWT 实战教程_jwt_
10-01
JWT(JSON Web Token)是一种轻量级的身份验证标准,用于在网络应用之间安全地传输信息。它通过使用数字签名来确保数据的完整性和真实性。JWT在Spring Boot中的整合是常见的应用场景,尤其是在构建RESTful API时,它...
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
JWT Token生成及验证
07-16
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛应用...
ASP.NET Core学习之路03
weixin_45756851的博客
08-04 1659
Identity框架入门、代替Session的JWT是什么、ASP.NET Core托管服务的基本使用、什么是WebSocket、SignaIR、ASP.NET Core程序的发布
JWT身份验证:如何实现注销?
Lycode
04-21 1万+
可能的解决方案: 将JWT存储在数据库中。您可以检查哪些令牌有效以及哪些令牌已被撤销,但这在我看来完全违背了使用JWT的目的。 从客户端删除令牌。这将阻止客户端进行经过身份验证的请求,但如果令牌仍然有效且其他人可以访问它,则仍可以使用该令牌。这引出了我的下一点。 令牌生命周期短。让令牌快速到期。根据应用,可能是几分钟或半小时。当客户端删除其令牌时,会有一个很短的时间窗口仍然可以使用它。从客户...
ASP.NETCore——JWT
ahao214——Dreamspace
02-05 385
ASP.NETCore——JWT
搞懂 JWT 这个知识点
程序员成长指北
09-22 650
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
令牌桶 客户端请求_使用刷新的令牌和cookie进行安全的客户端身份验证
weixin_26636643的博客
09-27 857
令牌桶 客户端请求To start off, this is my first article here. I’ve thought about writing it for a while now. Ever since we planned and implemented what we call a moderately secure way to actually authenticate...
在更改密码和注销时使JWT无效的最佳做法?
延宝小白马的博客
06-21 9276
不使用刷新令牌时: 1. 更改密码时:当用户更改密码时,请注意用户数据库中的更改密码时间,因此当更改密码时间大于令牌创建时间时,令牌无效。因此可以很快将其它的会话也给注销掉。 2. 当用户注销时:当用户注销时,将令牌保存在单独的数据库中(例如:InvalidTokenDB并在令牌过期时从Db中删除令牌)。因此,用户从相应的设备注销,他在其他设备中的会话保持不受干扰。 因此,在使J...
十次方——JWT之admin登录与删除user用户
哈喽羊
04-02 991
首先在tensquare_common包中导入jwt的jar包 然后再在tensquare_common的util包下写个jwt的工具类 package util; import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebt...
微服务架构中的身份验证问题 :JSON Web Tokens( JWT)
热门推荐
灯塔的CSDN博客
12-07 6万+
本文翻译自:http://www.svlada.com/jwt-token-authentication-with-spring-boot/ 场景介绍软件安全是一件很负责的问题,由于微服务系统中每个服务都要处理安全问题,所以在微服务场景下会更加复杂,一般我们会四种面向微服务系统的身份验证方案。 在传统的单体架构中,单个服务保存所有的用户数据,可以校验用户,并在认证成功后创建HTTP会话。在微服务架
微服务网关与JWT鉴权实践
"本文主要探讨了微服务架构中网关与JWT令牌的使用,旨在让读者理解JWT鉴权机制,并掌握如何在网关中实施JWT校验用户登录。" JWT(JSON Web Token)是一种轻量级的身份认证和授权机制,广泛应用于现代Web应用和API...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

步、步、为营

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值