Spring Cloud Security 实战,退出登录时如何借助外力使JWT令牌失效?

最新推荐文章于 2024-03-04 16:47:39 发布
最新推荐文章于 2024-03-04 16:47:39 发布
阅读量439 收藏 5
点赞数
分类专栏: Java 程序员 文章标签: java 程序员 spring cloud spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57907028/article/details/122501874
版权
本文探讨了在使用JWT时如何处理注销登录,通过介绍白名单和黑名单两种策略,重点阐述了黑名单方式的实现过程,包括在网关层解析JWT的jti、过期时间并存入请求头,下游服务的过滤器修改,以及注销接口的实现。通过这些步骤,实现了借助Redis使JWT令牌失效的目标。
摘要由CSDN通过智能技术生成

今天这篇文章介绍一下如何在修改密码修改权限注销等场景下使JWT失效。

文章的目录如下:

解决方案

JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。

但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。

但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JWT行了吧。额,社会本就复杂别再欺骗自己了好么,被你在客户端删掉的JWT还是可以通过服务器端认证的。

使用JWT要非常明确的一点:JWT失效的唯一途径就是等待时间过期

但是可以借助外力保存JWT的状态,这时就有人问了:你这不是打脸吗?用JWT就因为它的无状态性,这时候又要保存它的状态?

其实不然,这不被逼上梁山了吗?不使用外力保存JWT的状态,你说如何实现注销失效?

常用的方案有两种,白名单黑名单方式。

1、白名单

白名单的逻辑很简单:认证

最低0.47元/天 解锁文章
敲代码的程序狗
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring SecurityJWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
JWT的优缺点及主动失效方案
weixin_45875621的博客
03-12 3699
原因:前后端分离 以前的传统模式下,后台对应的客户端就是浏览器,就可以使用session+cookies的方式实现登录,但是在前后分离的情况下,后端只负责通过暴露的RestApi提供数据,而页面的渲染、路由都由前端完成。因为rest是无状态的,因此也就不会有session记录到服务器端。 优点 JWT的优点是服务端生成之后就不需要在维护JWT,只需要解析即可,省去分布式session方案中需要去数据库查询的间。 缺点 不易实现JWT的主动失效。 要改变某个用户权限数据库中用户的权限很容易改变
JWT入门详解
weixin_57504000的博客
05-16 4456
目录 一、JWT简介 1.什么是JWT? 2.为什么要使用JWT? 二、JWT的工作原理 三、JWT的组成 1.Header(头部) 2.Payload(载荷) Reserved claims(保留) Public claims(公有) Private claims(私有) 3.signature 四、JWT的验证过程 五、JWT令牌刷新思路 1.首先前后端跨域配置 2.JWT配置 3.配置JWT验证过滤器 4.登陆方法成功后,将生成的JWT令牌通过响应头返回给客户端 .
如何在修改密码、修改权限、注销等场景下使JWT失效
wdj_yyds的博客
12-30 4637
大家好,我是不才陈某~ 今天这篇文章介绍一下如何在修改密码、修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JW
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6866
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
修改jwt过期间_服务端实现JWT主动失效
weixin_39777213的博客
01-29 4609
引言使用JWT,有一个十分头疼问题就是:用户主动注销、强制登出(禁止登陆)、忘记密码、修改密码、JWT续签、踢出下线,服务器不能让token主动失效!本文将探索关于这个问题的解决方案。目录:什么是JWTJWT的特点JWT主动失效方案JWT主动失效最佳实践进阶优化总结1.什么是JWTJWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录和权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
Spring Security基于JWT实现SSO单点登录详解
08-25
Spring Security 基于 JWT 实现 SSO 单点登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
JWT 弊端解决思路(主动过期\权限更新)
编程大白菜
08-26 2870
JWT 弊端解决思路(主动过期\权限更新)
安全认证--JWT介绍及使用
weixin_43811057的博客
03-01 1597
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
细说——JWT攻击
LainWith的博客
01-05 5650
JSON Web Token (JWT) 是一种标准化格式,用于在系统之间发送加密签名的 JSON 数据。它们理论上可以包含任何类型的数据,但最常用于发送有关用户信息的声明,作为身份验证、会话处理和访问控制机制的一部分。与经典会话令牌不同,服务器需要的所有数据都存储在 JWT 本身的客户端中。这使得 JWT 成为高度分布式网站的热门选择,在这些网站中,用户需要与多个后端服务器无缝交互。它一般会放置在、**Cookie**或者请求体里面。
基于 Redis 的 JWT令牌失效方案
最新发布
Mr_VK的博客
03-04 1380
当用户登录状态到登出状态,对应的JWT令牌需要设置为失效状态,这可以使用基于 Redis 的黑名单方案来实现JWT令牌失效
springsecurity实现原理_在Spring Security框架下JWT的实现细节原理
weixin_40005330的博客
11-20 199
一、回顾JWT的授权及鉴权流程在笔者的上一篇文章中,已经为大家介绍了JWT以及其结构及使用方法。其授权与鉴权流程浓缩为以下两句话授权:使用可信用户信息(用户名密码、短信登录)换取带有签名的JWT令牌 鉴权:解签JWT令牌,校验用户权限。具有某个接口访问权限,开放该接口访问。 二、Spring Security授权细节说明我相信大家都能理解上面的授权与鉴权的整体流程,但是具体到使用Spring Se...
springsecurity整合jwt自定义令牌失效机制_Spring Security 整合JWT(四)
weixin_34835470的博客
01-25 195
一、前言本篇文章将讲述Spring Security 简单整合JWT 处理认证授权基本环境spring-boot 2.1.8mybatis-plus 2.2.0mysql 数据库maven项目Spring Security入门学习可参考之前文章:SpringBoot集成Spring Security入门体验(一)Spring Security 自定义登录认证(二)Spring Security 动...
Spring Cloud实战 | 最七篇:Spring Cloud Gateway+Spring Security OAuth2集成统一认证授权平台下实现注销使JWT失效方案
竹林幽深
10-07 1171
https://blog.51cto.com/u_12386660/4909284
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 2328
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
JWT实践总结篇 二 (实现JWT并发请求刷新、主动过期问题)
qq_41829492的博客
08-30 1124
实现JWT并发请求刷新、主动过期 在第一篇文章中总结出了很多JWT的特点,本篇我们解决在使用JWT过程中出现的问题解决思路。下面我们带着问题进入我的思路。 为什么JWT必须设置失效间? 在使用JWT来认证的系统中,token是标识一个用户的身份、权限唯一标识,如果token泄露,不能保证盗用者拿token来做好事。因此安全起见,普遍token有效期非常短。 为什么需要我们来编写刷新逻辑? 假设...
springcloud springsecurity jwt
09-16
### 回答1: Spring Cloud是一个基于Spring Boot的开发工具,用于快速构建分布式系统的微服务框架。它提供了一系列的组件,包括服务注册与发现、配置中心、负载均衡、断路器、网关等,使得开发者可以更加方便地构建和管理微服务。 Spring SecuritySpring框架中的一个安全框架,用于提供身份认证和授权功能。它可以与Spring Cloud集成,为微服务提供安全保障。 JWT(JSON Web Token)是一种轻量级的身份认证和授权机制,它使用JSON格式来传递信息。在Spring Cloud中,可以使用JWT来实现微服务之间的安全通信,保证数据的安全性和完整性。 ### 回答2: Spring Cloud是一个开源的分布式系统开发框架,它基于Spring Boot,能够帮助开发者快速构建云原生应用程序。Spring Cloud提供了一系列的组件,例如服务注册与发现(Eureka)、服务网关(Zuul)、配置中心(Config)等,可以协助开发者实现微服务架构。 Spring SecuritySpring框架提供的一种安全框架,它能够为应用程序提供认证和授权的功能。Spring Security基于过滤器链的机制,可以对请求进行安全验证。开发者可以通过配置来定义访问控制规则,保护应用程序的资源。 JWT(JSON Web Token)是一种用于身份验证和访问控制的标准方法,它通过在身份验证完成后生成一个令牌,并将该令牌发送给客户端,客户端在后续的请求中通过该令牌进行身份验证。JWT由三部分组成,分别是头部、载荷和签名。头部和载荷使用Base64进行编码,然后使用一个密钥进行签名,确保JWT的安全性。 在使用Spring CloudSpring Security构建分布式系统,可以使用JWT作为认证和授权的方式。具体做法是,当用户进行身份验证成功后,生成一个JWT令牌,并将该令牌返回给客户端。客户端在后续的请求中,将令牌作为Authorization头部的内容发送给服务端。服务端接收到请求后,解析JWT令牌,验证其合法性,并根据令牌中的信息来判断用户的身份和权限。通过这种方式,可以实现无状态的分布式身份验证和访问控制。 总结来说,Spring Cloud可以帮助开发者构建分布式系统,Spring Security可以提供身份验证和授权的功能,而JWT可以作为一种安全的认证和授权方式在分布式系统中使用。这三者相互结合,可以帮助开发者构建安全、可靠的分布式应用程序。 ### 回答3: Spring Cloud是一个基于Spring Boot的开发工具集,它提供了一系列的分布式系统开发工具,其中包括了分布式配置中心、服务注册与发现、消息总线、负载均衡、熔断器、数据流处理等。Spring Cloud的目标是帮助开发者快速构建适应于云环境的分布式系统。 Spring SecuritySpring官方提供的安全框架,它可以用于保护Spring应用程序免受各种攻击,例如身份验证、授权、防止跨站点请求伪造等。Spring Security使用一种基于过滤器链的方式来处理HTTP请求,通过配置一系列的过滤器,可以实现对请求的鉴权和授权处理。 JWT(JSON Web Token)是一种用于跨域身份验证的开放标准。它可以在用户和服务器之间传输信息,并且能够对信息进行校验和解析。JWT一般由三部分组成:头部、载荷和签名。头部包含了令牌的类型和加密算法,载荷包含了需要传输的信息,签名用于验证令牌的合法性。 在使用Spring Cloud,可以结合Spring SecurityJWT来进行身份验证和授权。我们可以通过配置Spring Security的过滤器链来验证JWT的有效性,并在每个请求中进行用户身份的鉴权。通过使用JWT,我们可以避免传统的基于Session的身份验证方式,实现无状态的分布式身份验证。 总结起来,Spring Cloud是一个分布式系统开发工具集,Spring Security是一个安全框架,JWT是一种用于跨域身份验证的开放标准。在使用Spring Cloud进行分布式系统开发,可以结合Spring SecurityJWT来实现身份验证和授权的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值