如何使jwt生成的 token在用户登出之后失效?

已于 2023-08-03 06:58:30 修改
阅读量2k 收藏 1
点赞数
分类专栏: 项目 java 框架 文章标签: java 开发语言 spring boot
于 2023-08-02 08:36:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54061333/article/details/132054099
版权
java 同时被 3 个专栏收录
96 篇文章 1 订阅
订阅专栏
框架
13 篇文章 0 订阅
订阅专栏
项目
4 篇文章 0 订阅
订阅专栏

在这里插入图片描述

问题1:如何使jwt生成的 token在用户登出之后失效?

由于jwt生成的token是无状态的,这体现在我们在每一次请求时 request都会新建一个session对象:

举个例子:

@PostMapping(value = "/authentication/logout")
public ResponseEntity<BaseResult> logOut(HttpServeletRequest request ,@RequestHeader(name = "Authorization") String authHeader) throws AuthenticationException, IOException {
    HttpSession session =request.getSession();
    session.isNew();//true
    return null;}

这就会导致我们在退出系统之后,使用原token依然有机会被系统检验通过,而有权限访问系统;

所以我们需要借助别的方式使得该token失效(并不是token真正失效而是将其加入黑名单或者使用别的什么方式标记它);

1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;

2,除了加,我们还可以使用减法的方式来实现:

首先我们在redis中将用户登陆的token存起来,

这里要考虑用户可以多端同时登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此时就要将登出的那个token单独处理;

这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求时会校验list中是否有该key,如果有放行,否则就要重新登录;

代码实现:

登陆时缓存token:

        HttpStatus httpStatus;
        BaseResult baseResult;
        HttpHeaders httpHeaders = new HttpHeaders();
        String password = RSAUtils.privateDecrypt(user.getPassword(), RSAUtils.getPrivateKey(Const.PRIVATE_KEY));
        if (!HmrsUtils.isValidPassword(password)) {
            log.error("密码不匹配:{}", user.getUsername());
            throw new PasswordLengthException();
        }
        //登陆的时候考虑浏览器的因素,可以多个浏览器同时登录一个账号
        String token = authService.login(user.getUsername(), password);
        if (StrUtil.isEmpty(token)) {
            httpHeaders.add("Authorization", null);
            httpStatus = HttpStatus.BAD_REQUEST;
            baseResult = HmrsUtils.setHttpBaseResult(httpStatus.value(), "登录失败", "用户名/密码错误");
        } else {
            httpHeaders.add("Authorization", token);
            httpStatus = HttpStatus.OK;
            baseResult = HmrsUtils.setHttpBaseResult(httpStatus.value(), "登录成功", null);
            log.info("{}用户登录", user.getUsername());
            User userInfo = userService.queryUserInfoWithOutPwd(user.getUsername());
            baseResult.setUserInfo(userInfo);
            //登录成功后缓存用户信息 --key -->username value  ---缓存用户信息作为热信息
            redisRWService.saveJsonObject(user.getUsername(), userInfo);//存入的是一个对象
            //缓存token 一个集合 就存字符串
            redisRWService.saveTokenStorage(user.getUsername() + Const.TOKEN_PREFIX, token);
//            redisRWService.saveJsonObject(user.getUsername() + Const.TOKEN_PREFIX, token);
            redisRWService.setKeyExpireTime(user.getUsername() + Const.TOKEN_PREFIX, Const.REDIS_TOKEN_EXPIRE);
            log.info("redis已缓存用户信息");

登出时list中移除该token:

HttpStatus httpStatus;
    BaseResult baseResult;
    HttpHeaders httpHeaders = new HttpHeaders();
    String userName = JwtTokenUtil.getUserName(authHeader);
    String token = authHeader.substring(Const.TOKEN_PREFIX.length() + 1);
    //如果有key,说明有用户登录
    if (redisRWService.hasKey(userName + Const.TOKEN_PREFIX)) {
        //取出这个list
        List<String> list = redisRWService.takeTokenStorage(userName + Const.TOKEN_PREFIX);
        //如果集合中包含这个token,则可以正常登出,否则就是非法请求
        if (list.contains(token)) {
            //在集合中删除该token后重新存入redis
            List<String> collect = list.stream().filter(str -> !str.equals(token)).collect(Collectors.toList());
            redisRWService.deleteKey(userName + Const.TOKEN_PREFIX);
            redisRWService.saveAllTokenStorage(userName + Const.TOKEN_PREFIX, collect);
            httpStatus = HttpStatus.OK;
            baseResult = HmrsUtils.setHttpBaseResult(httpStatus.value(), "登出成功", null);
            log.info("{}登出", userName);
            httpHeaders.add("Authorization", null);
            return new ResponseEntity<>(baseResult, httpHeaders, httpStatus);
        } else {
            httpStatus = HttpStatus.FORBIDDEN;
            baseResult = HmrsUtils.setHttpBaseResult(httpStatus.value(), "登出失败", "请重新登录");
            log.error("{}登出失败", userName);
            return new ResponseEntity<>(baseResult, null, httpStatus);
        }
        //否则就是该账号用户长时间未登录
    } else {
        httpStatus = HttpStatus.FORBIDDEN;
        baseResult = HmrsUtils.setHttpBaseResult(httpStatus.value(), "登出失败", "长时间未登录,请登陆后重试");
        log.error("{}登出失败", userName);
        return new ResponseEntity<>(baseResult, null, httpStatus);
    }
}

生效的交给拦截器/过滤器:

@Slf4j
@Component
public class JwtTokenInterceptor implements HandlerInterceptor {

    @Autowired
    private RedisRWService redisRWService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {

        String authHeader = request.getHeader(Const.HEADER_STRING);
        if (StrUtil.isNotEmpty(authHeader)) {
            String token = authHeader.substring(Const.TOKEN_PREFIX.length() + 1);
            //从token中取出用户名
            String userName = JwtTokenUtil.getUsernameFromToken(token);
            if (StrUtil.isNotEmpty(userName)) {
                //能解析出用户名 判断登录状态
                if (redisRWService.hasKey(userName + Const.TOKEN_PREFIX)) {
                    List<String> list = redisRWService.takeTokenStorage(userName + Const.TOKEN_PREFIX);
                    //如果集合中有这个token
                    if (list.contains(token)) {
                        log.info("{}用户登录", userName);
                        return true;
                    } else {
                        String jsonString = JSONObject.toJSONString(HmrsUtils.setHttpBaseResult(Const.TOKEN_EXPIRE, "请登录再试", "登录已过期,请重新登录"));
                        HmrsUtils.returnJson(response, jsonString);
                        return false;
                    }

                } else {
                    String jsonString = JSONObject.toJSONString(HmrsUtils.setHttpBaseResult(Const.TOKEN_EXPIRE, "长时间未登录", "长时间未登录,请登录后重试"));
                    HmrsUtils.returnJson(response, jsonString);
                    return false;
                }
            } else {
                String jsonString = JSONObject.toJSONString(HmrsUtils.setHttpBaseResult(400, "登陆失败", "非法请求"));
                HmrsUtils.returnJson(response, jsonString);
                return false;
            }
        } else {
            String jsonString = JSONObject.toJSONString(HmrsUtils.setHttpBaseResult(400, "登陆失败", "用户名/密码不正确"));
            HmrsUtils.returnJson(response, jsonString);
            return false;
        }
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) {

    }

package com.hmrs.filter;

import com.alibaba.fastjson2.JSONObject;
import com.hmrs.comm.Const;
import com.hmrs.util.HmrsUtils;
import com.hmrs.util.JwtTokenUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Slf4j
@Component
public class JwtTokenFilter extends OncePerRequestFilter {

    @Autowired
    private UserDetailsService userDetailsService;


    @Override
    public FilterConfig getFilterConfig() {
        return super.getFilterConfig();
    }


    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain
            chain) throws ServletException, IOException {
        String authHeader = request.getHeader(Const.HEADER_STRING);
        if (authHeader != null && authHeader.startsWith(Const.TOKEN_PREFIX)) {
            final String authToken = authHeader.substring(Const.TOKEN_PREFIX.length() + 1);
            String username = JwtTokenUtil.getUsernameFromToken(authToken);
            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
                if (JwtTokenUtil.validateToken(authToken, userDetails)) {
                    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
                            userDetails, null, userDetails.getAuthorities());
                    authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(
                            request));
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            } else if (username == null) {
                log.error("登录已过期");
                String result = JSONObject.toJSONString(HmrsUtils.setHttpBaseResult(1002, "failed", "登陆已过期"));
                HmrsUtils.returnJson(response, result);
                return;
            }
        }
        chain.doFilter(request, response);
    }


}
CodeMartain
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
如何在修改密码、修改权限、注销等场景下使JWT失效
wdj_yyds的博客
12-30 4522
大家好,我是不才陈某~ 今天这篇文章介绍一下如何在修改密码、修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JW
jwt token注销_如何用SpringBoot集成JWT实现token验证及token注销?一招教会你
weixin_39968852的博客
12-19 809
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT 可以使用HMAC算法或者是RSA的公私秘钥对进行签名。JWT 请求流程这里还要注意:光理论是不够的。在此顺便送大家十套20...
Spring Security】springboot + mybatis-plus + mysql 用户logout登出token失效
锥栗的博客
06-25 1349
Spring Security】springboot + mybatis-plus + mysql 从数据库读取用户信息验证登录【Spring Security】springboot + mybatis-plus + mysql 密码加密存储下的数据库用户验证登录【Spring Security】springboot + mybatis-plus + mysql 用户token验证登录功能。
探索 `MinaJwtLoginLogout`: 简化JWT身份验证的高效解决方案
最新发布
gitblog_00078的博客
04-07 269
探索 MinaJwtLoginLogout: 简化JWT身份验证的高效解决方案 项目地址:https://gitcode.com/BeijiYang/MinaJwtLoginLogout 在Web开发中,JSON Web Token (JWT) 已经成为广泛使用的安全认证机制。今天我们要介绍的是一个名为MinaJwtLoginLogout的开源项目,它为基于JWT的身份验证和注销提供了一套简单而高...
SpringCloud Alibaba 实战 - 如何让 jwt token 主动失效
wdjnb的博客
01-19 3713
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud al
jwt token注销_退出登录怎样实现JWT Token失效
weixin_39634997的博客
12-19 8242
退出登录,如果不使JWT Token失效会产生如下2个问题问题1-未过期的token还是可以用要是用户在多个设备登录了,而且本地保存了token。当一个地方丢弃token,但是这个token要是没有过期,那之前token还是可以用的。问题2-多个设备会出现死循环如果我把token存到数据库,当用户退出登录或者修改密码,更新token。当用户下次拿着之前的token来认证,找到该用户数据库存的t...
WEB安全(十一)退出登录场景下如何使token失效
jinyangjie的博客
02-16 6063
使用token做认证授权,会发现注销登录等场景下token还有效。因为token不同于Session认证方式——用户退出登录,服务端删除对应的Session记录即可。如果不引入其他机制,则退出登录token仍有效,即仍是登录状态,直到token有效间到。 下面介绍几个方案: 1、直接从客户端移除token 显然,这对服务端的安全性没有任何帮助,但是这的确使客户端退出登录,而且通过删除token来阻止攻击者,因为他们必须在注销之前窃取token。 2、创建token黑名单 可以维护一份token黑名
jwt退出登录/修改密码如何使原来的token失效
热门推荐
乾坤未定,你我皆是黑马
11-20 1万+
其实前端删掉这个Token不就行了吗(小声bb 不行,这样即使退出登录后拿着以前的token还是可以访问到。 看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢? 既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。 第一种办法: 登录第一次生成token,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退出登录,删掉数据...
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6644
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
JWT和Security 登录权限判断和token访问和让token失效
yujunlong3919的专栏
12-10 9632
文章目录Spring SecurityJWT无状态的单点登录()流程用到的方法configure(HttpSecurity http)登录 authenticationSuccessHandler loadUserByUsername通过token访问 doFilterInternal方法设置权限 Spring Security Spring Security是一个功能强大且高度可定制的身份验...
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
4. 服务端拿到JWT之后进行解密,正确解密表示此次请求合法,验证通过 使用Java实现JWT生成TokenJava中,可以使用io.jsonwebtoken库来生成JWT。下面是一个简单的示例代码: ```java import io.jsonwebtoken....
JWT Token生成及验证(源码)
04-12
JWT Token生成及验证(源码)
SpringBoot集成JWT生成token及校验方法过程解析
08-19
SpringBoot中,我们可以使用Java JSON Web Tokens(JWT)库来生成JWT token。在上面的示例代码中,我们定义了一个JwtTokenUtil类,其中包含了生成token和校验token的方法。 生成token的过程主要包括以下步骤: 1...
spring cloud实战与思考(四) JWTToken主动失效
weixin_30664051的博客
06-14 1371
需求: JWT泄露、密码重置等场景下,需要将未过期但是已经不安全的JWT主动失效。 本文不再复述JWT的基础知识,不了解的小伙伴可以自行Google一下。这里主要是针对以上需求聊一聊解决方案。如果服务端发给客户端的JWT还在有效期内,但是变得不安全,服务端需要及将这些JWT标识出来并作废掉。相较于session机制,服务端对JWT的控制要弱很多。JWT一旦签发,就脱离了服务端的掌控...
egg-jwt生成token+校验+错误拦截+登录失效
weixin_50307964的博客
05-17 733
查看header里面是否携带token校验token获取账号和密码根据获取到的账号查询拿到最近的登录间(statistics)对比间是否一致并做出相对于的响应。
SpringSecurity 退出登录/修改密码/重置密码 使JWTtoken失效的解决方案
fenduo的博客
02-26 4895
利用数据库,存放一个token过期的间字段 private LocalDateTime expireTime; 在创建token,标注上创建的间.setIssuedAt(new Date())。 如果这个创建间小于 (修改密码、重置密码、退出登录)操作的更新间expireTime,就表示它是修改或者登出之前的token,为过期token token创建间>数据库中的token过期间 ===抛出异常 token失效 1.设置token的创建间 ...
【Python_Flask系列之_JWT+Redis的token管理(包含失效)】
qq_36651949的博客
04-07 559
本次使用了白名单的思路,登录token存入redis中,登录退出token移除redis中,登录退出后原来的token失效,无法使用之前的token,需要再次登录获取新的token操作业务。
jwt生成token
07-27
JWT生成token是一个字符串,由三部分组成:头部、载荷和签名。头部指定了Token类型和所使用的加密算法,载荷存放的是自定义的数据,一般包括用户ID、过期间等信息,签名需要使用编码后的头部和载荷以及一个秘钥进行加密。最后将头部、载荷和签名用点号连接起来,生成最终的JWT token。\[1\]\[3\] 这个token可以用于用户身份认证,服务端可以根据这个字符串来认定用户身份,并且可以验证token是否过期。JWT生成token具有较高的安全性,因为它可以加密并支持多种算法,而且携带的信息是自定义的。此外,JWT的使用还可以减少后端的内存消耗,因为验证信息可以由前端保存。\[2\] #### 引用[.reference_title] - *1* *2* [利用JWT生成Token](https://blog.csdn.net/GG_and_DD/article/details/84314872)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [JWT-生成token](https://blog.csdn.net/m0_69128892/article/details/124714234)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CodeMartain

祝:生活蒸蒸日上!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值