JWT禁用问题

最新推荐文章于 2023-05-13 15:25:30 发布
最新推荐文章于 2023-05-13 15:25:30 发布
阅读量2.2k 收藏 2
点赞数
文章标签: redis 缓存 python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44454180/article/details/122161161
版权

需求:token颁发给用户后,在有效期内服务端都会认可,但是如果在token的有效期内需要让token失效,该怎么办?

此问题的应用场景:

用户修改密码,需要颁发新的token,禁用还在有效期内的老token
后台封禁用户

解决方案

在redis中使用set类型保存新生成的token

key = 'user:{}:token'.format(user_id)
pl = redis_client.pipeline()
pl.sadd(key, new_token)
pl.expire(key, token有效期)
pl.execute()

用set类型存储

user:{user_id}:token	set	           新token

客户端使用token进行请求时,如果验证token通过,则从redis中判断是否存在该用户的user:{}:token记录:

若不存在记录,放行,进入视图进行业务处理
若存在,则对比本次请求的token是否在redis保存的set中:

若存在,则放行
若不在set的数值中,则返回403状态码,不再处理业务逻辑

key = 'user:{}:token'.format(user_id)
valid_tokens = redis_client.smembers(key, token)
if valid_tokens and token not in valid_tokens:
  return {'message': 'Invalid token'.}, 403

说明:

redis记录设置有效期的时长是一个token的有效期,保证旧token过期后,redis的记录也能自动清除,不占用空间。
使用set保存新token的原因是,考虑到用户可能在旧token的有效期内,在其他多个设备进行了登录,需要生成多个新token,这些新token都要保存下来,既保证新token都能正常登录,又能保证旧token被禁用
捉鸭子
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
119、JWT禁用问题
limengshi138392的博客
07-01 1078
需求 token颁发给用户后,在有效期内服务端都会认可,但是如果在token的有效期内需要让token失效,该怎么办? 此问题的应用场景: 用户修改密码,需要颁发新的token,禁用还在有效期内的老token 后台封禁用户 解决方案 在redis中使用set类型保存新生成的token key = 'user:{}:token'.format(user_id) pl = redis_c...
onlyoffice搭建及与alist/nextcloud等网盘连接。
最新发布
Jimu2018的博客
05-21 596
记录onlyoffice搭建的过程及与Alist nextcloud 等其他网盘连接使用。
osso-demo:禁用JWT身份验证的Osso演示实例
02-08
Osso是源可用的微服务,用于将基于SAML的SSO添加到您的应用程序。 将Osso部署到您选择的基础架构,使用Osso Admin UI或为需要它的客户配置SAML,然后使用OAuth和我们的OAuth客户端库之一或它们登录到您的应用程序中 。 奥索 骨so 骨React omn​​iauth-osso 护照 产品特点 将SAML像OAuth一样对待:SAML很笨重,您可能已经在使用OAuth。 Osso提供了OAuth服务器,用于管理OAuth客户端的Admin UI以及用于Ruby和NodeJS的OAuth客户端库。 在您的团队专注于核心应用程序时,让Osso担心SAML位和客户配置的丑陋。 在Osso或您的UI中使用SAML Config :对于每个需要SAML SSO的客户,您都需要经历一个多步骤的过程,以在Osso与客户的SAML提供者之间创建安全的握手。 通过
Day10 ---- 强制登录, token刷新与jwt禁用
weixin_45228198的博客
07-03 390
flask 刷新jwt token
JWT认证方案与禁用令牌策略
weixin_44070137的博客
02-02 544
认证方案 1.1 jwt 对比状态保持机制 APP不支持状态保持 状态保持有同源策略, 无法跨服务器传递 不可逆加密 md5 sha1 sha256 主要用于数据认证, 防止数据被修改 消息摘要 MD 通过哈希算法将任意长度内容转为定长内容, 且相同内容的哈希值始终相同, 不同内容的哈希值不同(极小概率出现碰撞) 由于其唯一性, 一般将数据的哈希值称为数据的摘要信息, ...
jwt-decode.js
06-16
- **权限控制**: JWT的Payload可以包含权限信息,前端根据这些信息决定是否显示或禁用某些功能。 总的来说,jwt-decode.js是开发者处理JWT的便捷工具,它简化了解码JWT的过程,但要注意,为了安全性,验证JWT签名...
jwt,springboot整合
06-03
在这个类中,我们可以禁用 CSRF 保护,因为 JWT 不需要,然后配置 JWT 的过滤器。 4. **JWT 过滤器**:创建一个自定义过滤器,如 `JwtAuthenticationFilter`,它将在每个请求中检查请求头中的 JWT 令牌。如果验证...
springboot结合jwt
04-03
**SpringBoot结合JWT实现API权限验证** JWT(JSON Web Token)是一种轻量级的身份认证和授权机制,常用于Web应用的...在实际开发中,还需要考虑JWT的刷新策略、Token的存储与管理以及安全问题,例如防止CSRF攻击等。
Spring Boot整合JWT
10-16
在这个方法中,我们将禁用默认的登录页面,启用JWT过滤器,以及配置访问控制策略。 ```java @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorize...
module-ballerina-jwt:BallerinaJWT模块
02-12
问题与项目此存储库的“问题和项目”选项卡被禁用,因为它是Ballerina标准库的一部分。 要报告错误,请求新功能,开始新讨论,查看项目面板等,请访问Ballerina Standard Library。 该存储库仅包含模块的源代码。从...
JWT(无状态token)的应用
琅天溪的博客
04-20 3661
什么是JWT?集成与应用问题JWT使用起来超级简单方便对不对,但它对于整体应用存在一个设计缺陷,那就是服务端无法主动失效token,什么意思呢?就是如果我再次登录(可能是别的客户端)获取到新的token,之前的token是不失效(两个客户端可以同时登录),还可以再使用获取服务资源。所以JWT在某个方面安全性上不及session。如果要让服务端能够主动失效token,就要在服务端维持token状态,...
JWT使用
pscool的博客
11-02 3038
jjwt <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version> </dependency> Base64加密、解密 @Test public void testGenJwt() { JwtBuilder jwtBuilder =
V4-04 JWT快速入门+案例, Postman的使用(下篇), 单点登录雏形
pingzhuyan的博客
07-22 223
上篇:v4-04 cookie,session 有无状态会话区别,优缺点,单点登录的流程图(有无Redis) 单点登录流程图: ----------------------测试token的解析过程------------- 一段加密 头+ 负载+ 签名(秘钥)===> token 创建一个测试类 了解token的由来 1. 创建token(包含三部分信息: 头信息,负载信息 签名信息) package com.cy.jt; import io.jsonwebtok...
SpringBoot集成JWT
qq_68512683的博客
04-02 84
Spring boot集成JWT
一篇让你精通JWT,妥妥的避坑指南~
langfeiyes的博客
05-12 1307
一种越来越流行的身份验证和授权方式,用于在网络上传递信息的开放标准。重点讲jwt组成、特点、优缺点、常用的应用场景、常见的面试题、各种避坑指南等,最后以2个实战案例全面阐述jwt的开发运用。
SSO&OAuth2.0&JWT
qq_47075878的博客
05-13 581
SSO单点登录是为了解决一个用户在鉴权服务器登陆过一次以后,可以在任何应用中畅通无阻,一次登陆,多系统访问在此之前引入一个问题https本身数据传输就是加密的,已经防止了数据篡改和数据窃和防止钓鱼网站等,那为什么token还要加密?解答:有一台机器当访问的入口,要放在公网上(类似nginx)。但是内网传输数据采用的是http协议,可以防止内网泄露数据或者内部人员泄露数据。同时数据多次加密,增加破解难度。
django 利用中间件和jwt 使被冻结用户无任何操作权限
haeasringnar的博客
12-02 531
1、jwt相关方法 将得到的token转为payload 再将payload转为user id def jwt_encode_handler(payload): return jwt.encode( payload, api_settings.JWT_PRIVATE_KEY or api_settings.JWT_SECRET_KEY, ap...
jwt 过滤器 anon
01-26
根据您提供的引用内容,jwt过滤器`anon`是一种用于JWT(JSON Web Token)身份验证的过滤器。`anon`是`AnonymousFilter`的缩写,它允许匿名用户访问受保护的资源,而无需进行身份验证。 下面是一个使用`anon`过滤器的示例代码: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .antMatchers("/private/**").authenticated() .and() .addFilterBefore(new JwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class) .addFilterBefore(new JwtAuthorizationFilter(), UsernamePasswordAuthenticationFilter.class) .anonymous().disable(); } } ``` 在上面的示例中,`anon`过滤器被禁用,这意味着所有的请求都需要进行身份验证。您可以根据自己的需求来配置`anon`过滤器的使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值