处理用户登出并设置Token失效

已于 2024-08-28 22:41:23 修改
阅读量576 收藏 4
点赞数 6
分类专栏: Java 文章标签: java token
于 2024-08-15 16:16:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73060959/article/details/141225171
版权

在Web应用中,处理用户登出并设置Token失效是一个关键的安全措施。Token(通常指JWT - JSON Web Tokens 或其他类型的认证令牌)是用户身份验证的一种机制,它们允许用户在无需持续向服务器发送用户名和密码的情况下,通过发送一个加密的Token来验证身份。当用户登出时,确保Token失效是非常重要的,以防止未授权访问。

以下是一些常用的方法来在用户登出时设置Token失效:

1. 服务器端删除Token

对于服务器端管理的Token(如使用Redis、Memcached或数据库存储的Session ID),当用户登出时,服务器应该从存储中删除与该用户相关的Token或Session ID。这样,即使Token被截获或重用,服务器也会因为找不到对应的Token而拒绝访问。

2. Token黑名单

对于无状态的应用(如JWT),因为Token本身包含验证信息且不需要服务器存储状态,所以不能简单地删除Token。一种解决方案是维护一个Token黑名单。当用户登出时,将该用户的Token添加到黑名单中。每当请求到达时,服务器都会检查Token是否在黑名单中。如果是,则拒绝访问。

3. Token有效期

虽然这不是直接在用户登出时设置Token失效的方法,但合理设置Token的有效期可以减少Token被滥用的风险。即使Token被泄露,它也只能在有限的时间内被使用。

4. 客户端Token销毁

在用户登出时,确保客户端(如浏览器、移动应用)也销毁或清除存储的Token。这可以通过JavaScript清除LocalStorage、SessionStorage或Cookies中的Token来实现。然而,这并不能阻止Token在服务器端的滥用,因为Token本身可能已经被发送到服务器并被截获。

5. 使用Token刷新机制

对于JWT等Token,可以使用Token刷新机制。用户首次登录时,服务器返回两个Token:一个访问Token(Access Token)和一个刷新Token(Refresh Token)。访问Token的过期时间较短,而刷新Token的过期时间较长。当用户需要新的访问Token时,可以使用刷新Token来请求新的访问Token和刷新Token。当用户登出时,服务器可以标记刷新Token为失效,从而阻止用户获取新的访问Token。

6. 双重验证

在某些情况下,除了Token验证外,还可以引入双重验证(如手机验证码、指纹识别等)。这样,即使Token被泄露,攻击者也需要通过额外的验证步骤才能访问系统。

综上所述,处理用户登出并设置Token失效需要结合服务器端和客户端的措施,并考虑应用的具体需求和安全性要求。

wujiada001
关注
专栏目录
jwt token注销_JWT 管理用户登录时,都需要把 token 存数据库里,判断用户登出时删除吗?...
weixin_39814960的博客
12-19 1131
ddefewfewf:留着也没用啊Molita:不删留着干啥嘞就是 post session 和 delete session 嘛DavidNineRoc:jwt 好就好在不用存储数据库坏就坏在不用存储数据库正常情况下 jwt 不用处理登出, 如果非要做. 参考黑名单的实现.## 登出的做法就是, 客户端把本地的 token 删除, 这样子就不存在这个 token, 服务端也不关心这个. 就证明这...
SpringCloud Alibaba 实战 - 如何让 jwt token 主动失效
wdjnb的博客
01-19 3822
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud al
JWT的加密解密原理,token登出、改密失效、自动续期
u013733643的博客
03-13 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问时,需要携带token,服务端获取token后再去数据库获取token做校验。 JWTtoken认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 2. jwttoken加密解密过程 2.1 生成
退出登录时如何使JWT令牌失效
最新发布
Sup星月★然的博客
08-29 457
JWT 最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。不过无状态引出的问题也是可想而知的,它无法作废未过期的JWT。但是可以借助外力保存JWT的状态,常用的方案有两种,白名单和黑名单方式。
jwttoken 被获取怎么办
萌兔兔MMQ!!
04-12 9827
jwt 签发后,每次请求会续期,如果 token 被抓包后,别人得到后,有没有好的方案解决身份窃取问抗投诉服务器题? 签发 token 的时候加入一些验证信息,比如 IP 如果当前 request IP 和签发时候的 IP 不一致就加 blacklist 里 不嫌麻烦的话,搞一个验签。拿到 token 也没有 ip 这种也想过,不过,做不了,因为,我们是多个子系统的,后端需要请求 uc,那么每次来的都是后端 ip csrf 那种么? 插眼,目前方案是一定时间失效再申请 现在都是 HTTPS,为什么会被抓包呢
WEB安全(十一)退出登录场景下如何使token失效
jinyangjie的博客
02-16 6471
使用token做认证授权时,会发现注销登录等场景下token还有效。因为token不同于Session认证方式——用户退出登录时,服务端删除对应的Session记录即可。如果不引入其他机制,则退出登录时,token仍有效,即仍是登录状态,直到token有效时间到。 下面介绍几个方案: 1、直接从客户端移除token 显然,这对服务端的安全性没有任何帮助,但是这的确使客户端退出登录,而且通过删除token来阻止攻击者,因为他们必须在注销之前窃取token。 2、创建token黑名单 可以维护一份token黑名
JWT登出问题
Leon_Jinhai_Sun的博客
05-31 1235
Jwt 使用起来不难,而且让我们将“无状态”的概念更贴切的展示出来了,但是实践就真的这么完美吗?不是,因为jwt登出问题。 何为登出:就是用户自己点击登出后,或用户的角色/权限改变后,该token 仍然是有效的。你可以选择在前端清除该token,但是,如果用户是有技术背景的黑客呢?之前的token他保存一边,在没有过期(时间过期)时,他仍然可以使用该token。 解决方案: 登出怎么做?聪明的你是否有答案吗? 就是删除该用户存储在redis 里面登录的token 数据,so easy 。
如何使jwt生成的 token用户登出之后失效?
Gavin
08-02 2636
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户token从list中删除,下次请求时会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同时登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此时就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token用户登出之后失效?
Token 失效退出至登录页面
CMDN123456的博客
08-10 3622
Token 失效退出至登录页面
token手动失效,禁用用户
weixin_54284859的博客
02-23 969
token手动失效,禁用用户
JWT (JSON Web Token) 立即失效
HakuMaster的博客
07-11 1426
使一个 JWT (JSON Web Token) 立即失效可以通过多种方式实现,取决于具体的实现和系统需求。
JavaScript源代码】VUE Token失效处理详解.docx
12-29
当发现状态码为`10002`时,前端会执行相应的Token失效处理,这通常包括清除存储的用户信息、登出用户,并重定向到登录页面。 ### 代码落地 在Vue项目中,我们通常会在`src/utils/request.js`文件中设置axios(或...
java怎么设置登出时清除accesstoken并置空refreshtoken
04-28
Java中,可以通过以下步骤设置登出时清除access token并置空refresh token: 1. 获取当前用户的access token和refresh token。 2. 调用API以使access token和refresh token失效。 3. 清除本地存储的access ...
怎么设置登出时清除accesstoken并置空refreshtoken
04-28
2. 发送一个请求到后端,告知服务器用户已经登出,需要使得access token失效。 3. 清除本地存储的access token。 4. 将refresh token设置为null,防止被利用。 以下是一个示例代码: ``` function logout() { /...
基于JWT(JSON WEB TOKEN) 生成token及refreshToken实现用户认证及过期处理
caox_nazi的博客
08-20 5550
基于JWT(JSON WEB TOKEN) 生成token及refreshToken实现用户认证及过期处理 【1】 【问题背景】:想实现Session共享方法以及单点登录方案 【2】【原理结构解析】:JWT三个部分:Header(头部)、Payload(负载)、Signature(签名) 解析JWT工具网址:https://jwt.io/ 【参考文献】:(1):JSON WEB ...
关于jwt token失效的坑.
热门推荐
叶叶叶叶大爷的博客
05-23 4万+
最近项目中使用jwt token作为客户端发送请求的验证,自己一直没有深入研究源码,造成了修改用户的手机号后导致token失效.前端无法进行二次请求,每次请求都是401未授权,一开始以为是token过期,后来查看源码发现是生成token的时候用了手机号这个字段.    分析401错误有2类,一类是未经授权(未登录)发送请求,过滤器会将其过滤掉;第二类是token失效,token失效token过期...
基于 Redis 的 JWT令牌失效方案
Mr_VK的博客
03-04 1510
用户登录状态到登出状态时,对应的JWT的令牌需要设置失效状态,这时可以使用基于 Redis 的黑名单方案来实现JWT令牌失效
jwt验证方式下挤下线,token失效,不能重复 功能实现
爱音乐的程序猿的博客
07-16 3294
jwt是一种无状态的身份验证方式,简单来说就是服务器不保存用户的信息状态。用户权限登录信息保存在token里,这样服务器只需要验证jwt token就能获取到用户权限相关信息 但是jwt验证过期只有生成的时候会设置过期时间,要想时之前的token失效可以借助于过滤器和缓存来实现 处理方式有很多种,这里拿spring security举例 重写 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值