保持JWT token只在过期时间失效机制

最新推荐文章于 2024-05-28 09:53:50 发布
最新推荐文章于 2024-05-28 09:53:50 发布
阅读量5.8k 收藏
点赞数 1
分类专栏: token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44172434/article/details/99589157
版权

近日项目渐进收尾,在最后的RBAC和token测试中发现了一些小问题,在token的交互中,发现一旦重启服务器后,之前生成的token就会失效了.这在我们的日常使用中是绝对不允许的,否则假如一个人在使用着app,我们服务器更新了,当他再次访问请求的时候发现自己要重新登录了,这样带来了很不好的用户体验,所以需要改进.但是考虑到既然实用可token的JWT机制,抛弃了session和cookie的保存连接机制就要无状态到底.所以就全程没有将token做一个有状态的机制处理.

解决思路

在我们使用现在成熟的JWT生成token时有一个很重要的东西priv_key,这是一个JWK类的数据,它被封装成了一个类.我们可以在python上通过如下输出它的值:

 key = jwk.JWK.generate(kty='EC', crv='P-256')
 key.export(private_key=False)

这是它的值:
‘{“y”:“VYlYwBfOTIICojCPfdUjnmkpN-g-lzZKxzjAoFmDRm8”,
“x”:“3mdE0rODWRju6qqU01Kw5oPYdNxBOMisFvJFH1vEu9Q”,
“crv”:“P-256”,“kty”:“EC”}’
而之前的机制是,每次重启服务器就执行一次generateJWK的语句,因此每次它生成的JWK里的值会因y和x的值不同得到不同的JWK,因此再去验证的时候,你携带验证的priv_key参数已经不是你最初的那个了,所以它就验证不成功了.

最终我采用了一个比较笨但是比较实用的方法,就是将priv_key预先生成好,然后每次进行token的各种操作时,所携带的JWK类的秘钥就是我们这个预先生成好的priv_key,就使得token只在它的有效期过期时才失效,而不在重启服务器后就失效.

解决代码之python

import python_jwt as jwt, jwcrypto.jwk as jwk ,datetime

key = {"d":"igkREvy4tJjCjdttFZzfVcsJO0Wj0MGtxZFcremC5bNCibqQFrp-pRGkjrJIMxSiXYcaXXyVu5L11MvsKWVKA9lWhAiX8gbJ9cXirsWtIlhutO_Lv2X1kOBlJyQkdb6oPuOi5VUcXuAjWFRUvH5P60UJA1yXRZMn9gzxgMSDErGkhnFQejxBE5Qde3mUxf4pm7ysvq9eZ9xPhferl6oZ_QF60Ajj5dcJ8DWLCIftqUSwNnbMhl0Wa94PGje3kkslt1JkIaaj4ZeAL3oKmxm__hq7pG0cWGgrp6GJTOoiIOy9KHP8iaGN4GQ2diUp1iBSNFwjgN1I7RzTzq19DewIAQ","dp":"OqlXvoSVF6boqYTKhcDNQnjE-ImQWqe753BhV_SQSSeb5wlw-9O_fu23C9HyG1JCEQuJmdgm9lpiI4qwUZimuSnEOZ-FyXL440dRCNw9rew-UnTkHxaTu1ATaBtM-eFrzbtjOv9O99ITQTSCvnkDVzxuaprddstOWbJH07Bm9gE","dq":"VpCAsfGOEpxQHv__AihrJNW-5XpB1E2lxGVnM0bSlAhlMY9LRRtdr93asz7A2TB_wcSk67MgP3UeAGk2buS2C89Vsl6LMeYQQFrxcT2YyobUeRUrKtgIYsoSbHLVsqUHkM3oSqTxYOPg9OQmf-oL3jq3hhtZT0T3HriNMN_ndqk","e":"AQAB","kty":"RSA","n":"4uXpp92owv-SHgLRgboYflOX63Irhe-hU21cn25uaH6Er-nFEJHQWrdDExaU3sIS1wF54nuinazfIu2Ndc56feVuy2G2bwWCTwbss_34bGuEjGBRQeBQEtas7IBwwzbisTcW9FOwDBmleAECLPChjycoASqCnUaGGeUOH8H5MFXc4xcaDnSYG3ZKfzTgfqsAsp2__DIyB39T8ez0Ey9ux7DVjkHZ_2V7NJ9f2N1kY3TpczayHaa4I9FdGzKe6uv7KbWHK1V7Mml-JowagXIKRx30aaBtsdRNE3ICHi3vBS3VSzwGEsPk53U-x7Oer5NusXbE133hTX-j4vTgZDIpCw","p":"8daGAzGb74KGePZCCKcj4iTuzmSpiv3-_P5B3pE6DJdkOTjMR4MWzC6KCHyLaetxHfZpoU50NlK_oedLc0UCZX5CThlF9DEvn2Gb_8NMQOWDbuztLKquC_IhVmhWRTAQef0FLOv7ipa_ZYej72CJ2fWfpv_jbTYcU45VJ9w6ZgE","q":"8C9rleVhoglOopNKzrOKDMFlLX1puPtiN4a8rhWnPmrV1rCWDKTyCDBSusfm8PiYzQVnqTUme3DoQlJbvH1uQKeIXSscJBVaX8IcfCcgYtdH1cq4xWDBeNoJLMEH_jVvWcHBwD2xEupjBtyeBdCzDR7i60PXXPlDR9Ufckplxws","qi":"NLFbHCmgEaNuq17i4u0BDIYa8r0GiIYubT-M538lLtOM2CUCOax1UdUoihb0e6fhAQcZjQGayJCNYpNpsHBxt3pY2j4ygiqB3muEmS7-SlkYKeVxEg_q8LbZ8RxBzIQ5ZOQeoZJf5SElRa77wInSk2-pGGaU9RkruY8Gwd6ysEU"}
  # 原来的priv_key里面的数据
tokenKey = jwk.JWK(**key)  # 生成JWK对象
payload = {'message':'helloWord!'}  # 这是自己添加的数据
token = jwt.generate_jwt(payload, tokenKey, 'RS256', datetime.timedelta(minutes=100))  # 生成SMSCodetoken有效期为60S
print(token)

至此你就可以生成一个不受服务器限制的token啦.

rain-Liang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringSecurity Jwt Token 自动刷新的实现
08-19
主要介绍了SpringSecurity Jwt Token 自动刷新的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
如何设置永不过期token
jq1223的博客
03-09 5897
//失效时间的好秒值 long timeMillis = System.currentTimeMillis(); //设置token时间 999999999 毫秒=11.5740740625 天 //6000000为1分钟 long endTime = timeMillis + 6000000;
JWTtoken过期的处理策略
最新发布
weixin_43993064的博客
05-28 806
最简单最直接的方式用户再次输入他们的登录凭证,如用户名和密码,得到一个新的token
【Python_Flask系列之_JWT+Redis的token管理(包含失效)】
qq_36651949的博客
04-07 576
本次使用了白名单的思路,登录时将token存入redis中,登录退出时将token移除redis中,登录退出后原来的token失效,无法使用之前的token,需要再次登录获取新的token操作业务。
基于 JWT + Refresh Token 的用户认证实践
Lambda
03-10 3467
HTTP 是一个无状态的协议,一次请求结束后,下次在发送服务器就不知道这个请求是谁发来的了(同一个 IP 不代表同一个用户),在 Web 应用中,用户的认证和鉴权是非常重要的一环,实践中有多种可用方案,并且各有千秋。 基于 Session 的会话管理 在 Web 应用发展的初期,大部分采用基于 Session 的会话管理方式,逻辑如下。 客户端使用用户名密码进行认证 服务端生成并...
不会吧,不会吧,不会还有人看了这篇文章还不精通JWT
XiaoLin
10-07 2680
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
Token失效处理
weixin_66913730的博客
06-05 2353
token作为用户的关键令牌信息不是长久有效的,一般都会有一个失效时间(由后端来决定什么时长后失效),如果超过失效时间,当前token就不能再作为用户标识请求数据了,这时候我们需要做一些额外的失效处理...
EasyCVR程序退出后token依然生效该如何解决?
EasyCVR视频融合云平台的技术博客
05-12 214
只要在路由中间件中根据token解析出用户名,然后判断map中是否存在该用户名即可。
JWT 续期和服务下线
L的博客
06-14 759
传统httpsession和spring-session都是采用httpsession默认机制。内部会有线程不停的轮询会话列表。把那些内存中的会话列表中的过期时间和当前时间进行比较,如果超过> 30分钟 自动把session删除。如果在30以内的请求,会自动续期(时间会从0开始计数)。为什么要这样做?你思考。如果没有续期,会怎么样?就好比你登录腾讯游戏,你登录有效时间是30分钟。那么也就意味着你每隔30分钟要退出重新登录一次。所以我们应该是在你登录以后,未来的每一次请求中,只要用户一直在发起请求,就把时间
JWT生成token过期处理方案
以梦为马,不负韶华
08-17 7694
业务场景 在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。 基本思路 单个token token(A)过期设置为15分钟 前端发起请求,后端验证token(A)是否过期;如果过期,前端发起刷新token请求,后端设置已再次授权标记为true,请求成功 前端发起请求,后端验证再次授权标记,如果
Jwt选型和实现
qq_45317823的博客
02-19 494
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
JWT 实现登录认证 + Token 自动续期方案
houxian1103的博客
04-18 8899
过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程。今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡来说也是一种锻炼吧。
JWT 登录认证及 token 自动续期方案解读
良月柒
05-23 222
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 6 分钟。来自:juejin.cn/post/6932702419344162823过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章中介绍了,可以阅读用户管理模块:https://juejin.cn/post/6916150628955717646今天...
Jwt
m0_63300795的博客
09-04 1597
这篇小案例采用的是模仿网银一类...如果用户在程序规定的时间不请求后端就会失效
JWT令牌刷新机制
YinRJ的博客
03-28 4468
JWT令牌刷新机制 问题来源 JWT令牌保存在客户端,会存在过期时间,那么如果令牌一直没有变化,那么过期时间也不会发生变化。假设一个JWT令牌的过期时间是5天,但是用户在这5天内一直在使用本系统,那么理论上当到了第五天的时候就应该是自动对这个令牌进行续期操作,而不是让用户重新登录。 解决办法 双令牌机制 设置长短日期的两个令牌,两个令牌都传给客户端,客户端每次携带两个令牌请求 当两个令牌都没有过期的时候,服务端正常验证逻辑 如果短令牌过期,长令牌没有过期,那么服务端重新生成两个新的令牌返回给客户端,客户端
JWT的优缺点及主动失效方案
weixin_45875621的博客
03-12 3669
原因:前后端分离 以前的传统模式下,后台对应的客户端就是浏览器,就可以使用session+cookies的方式实现登录,但是在前后分离的情况下,后端只负责通过暴露的RestApi提供数据,而页面的渲染、路由都由前端完成。因为rest是无状态的,因此也就不会有session记录到服务器端。 优点 JWT的优点是服务端生成之后就不需要在维护JWT,只需要解析即可,省去分布式session方案中需要去数据库查询的时间。 缺点 不易实现JWT的主动失效。 要改变某个用户权限时数据库中用户的权限很容易改变
JWTtoken的区别及优缺点
kymengfw的博客
05-19 1564
JWTtoken的区别及优缺点 TOKEN 概念: 令牌, 是访问资源的凭证。 1、Token的认证流程: 用户输入用户名和密码,发送给服务器。 服务器验证用户名和密码,正确的话就返回给客户端一个签名过的token。 浏览器客户端拿到这个token,存储到cookie或者localStorage中。 客户端后续每次请求中,会在 header中携带token发送给服务器。 服务器器验证token并解析出用户ID等相关信息,通过调取数据库信息比对,如果有效那么
JWT-JSON WEB TOKEN使用详解及注意事项
程序新视界
11-21 1344
越来越多的开发者开始学习并在实际项目中运用JWT(Json Web Token)技术来保护应用安全,很多公司的应用程序也开始使用JWT来管理用户会话信息,可谓风光无限。 任何技术框架都有自身的局限性,不可能一劳永逸,JWT也不例外。本文将从JWT的概念、基本原理和适用范围来剖析JWT并不是银弹,需要谨慎处理。 众所周知,如果账户信息(用户名和密码)泄露,存储在服务器上的隐私数据将受到毁灭性的打击,...
使用jwt实现restful接口用户验证
Technology exist forever
12-27 4817
基于restful进行前后端分离的项目由于是基于json进行数据传输,前端既可以是web、android也可以是IOS,但是这样就产生了一个问题,http协议是无状态的,restful也是无状态的,用户状态信息该如何保存?restful接口的用户认证有几种方案:1.使用session+cookie进行用户认证。 2.使用token进行认证,如果用户登陆成功,则通过某种规则(比如userName+t
nestjs jwt设置生成新token时 旧token失效
06-13
在 NestJS 中设置生成新的 JWT Token 时使旧 Token 失效,可以通过以下步骤实现: 1. 在生成 Token 时,将 Token过期时间设置为较短的时间,如 5 分钟。 2. 在验证 Token 时,不仅要验证 Token 的有效性,还要验证 Token 是否已经失效。 3. 当用户需要进行操作时,先验证 Token 是否有效,如果有效则继续操作,如果 Token失效,则返回错误信息。 4. 当用户进行操作时,如果 Token 还有一定的有效期,可以在操作成功后生成新的 Token,将旧 Token 设置为失效状态。 以上步骤可以通过在 NestJS 中使用 JWT 模块的方法来实现。在验证 Token 时,可以使用 JWT 模块提供的 verify 方法来验证 Token 是否有效,使用 Redis 或其他缓存技术来实现 Token失效。在生成新的 Token 时,可以使用 JWT 模块提供的 sign 方法来生成新的 Token

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值