WEB安全(十一)退出登录场景下如何使token失效

最新推荐文章于 2024-08-15 16:16:45 发布
原创 最新推荐文章于 2024-08-15 16:16:45 发布 · 6.8k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全

在OAuth认证中,token的管理是关键。当用户注销登录时,直接删除客户端的token仅保障客户端安全,但服务端仍需应对token有效性。方案包括:1) 创建token黑名单,虽然增加数据库查询但能有效管理;2) 缩短token有效期并频繁刷新,牺牲用户体验换取安全;3) 修改密钥可能导致多设备登录同步问题。这些策略权衡了安全与用户体验。

使用token做认证授权时,会发现注销登录等场景下token还有效。因为token不同于Session认证方式——用户退出登录时,服务端删除对应的Session记录即可。如果不引入其他机制,则退出登录时,token仍有效,即仍是登录状态,直到token有效时间到。

下面介绍几个方案:

1、直接从客户端移除token

显然,这对服务端的安全性没有任何帮助,但是这的确使客户端退出登录,而且通过删除token来阻止攻击者,因为他们必须在注销之前窃取token。

2、创建token黑名单

可以维护一份token黑名单,将无效的且未到过期时间的token存储在内,每次传入的请求都需对比token黑名单。不过这种方式舍弃了token的优势,因为每个请求都需要访问数据库。不过,此方案的存储空间会很小,因为你只需要存储在注销和到期时间之间的token。

3、缩短token到期时间并经常轮换

将token到期时间保持在足够短的时间间隔内,并让正在运行的客户端跟踪并在必要时请求更新,那么将有效地完成用户注销登录。但是,会导致用户登录状态不会被持久记录,而且需要用户经常登录。

4、修改密钥(Secret)

我们为每个用户都创建一个专属密钥,如果我们想让某个 token 失效,我们直接修改对应用户的密钥即可。但是,这样相比于前两种引入内存数据库带来了危害更大,

比如:

  1. 如果服务是分布式的,则每次发出新的 token 时都必须在多台机器同步密钥。为此,你需要将密钥存储在数据库或其他外部服务中,这样和 Session 认证就没太大区别了。
  2. 如果用户同时在两个浏览器打开系统,或者在手机端也打开了系统,如果它从一个地方将账号退出,那么其他地方都要重新进行登录,这是不可取的。
JWT 的 Token 失效与刷新机制
架构师的AI之路,分享AI应用开发架构的学习与实践。
06-16 785
随着前后端分离架构的普及,JWT(JSON Web Token)因“无状态”“自包含”等特性,成为接口身份验证的主流方案。但JWT一旦签发便无法主动失效的特性,也带来了“用户注销后Token仍有效”“权限变更后旧Token无法回收”等问题。本文将聚焦JWT Token失效场景(如正常过期、强制失效)和刷新机制(如何用“续场券”延长会话),覆盖原理、实战、安全优化全流程。本文从“电影票”的生活场景切入,逐步解析JWT Token失效原理、刷新机制设计,最后通过代码实战演示完整实现。
SpringCloud Alibaba 实战:如何让 jwt token 主动失效
Java4396的博客
01-21 1974
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud a.
【若依框架】登录token,自定义session,鉴权等前后端流程解读
热门推荐
kouryoushine的博客
08-13 2万+
背景 之前虽然讲了login,getInfo,getRoutes的三个接口,但从设计的角度来讲,这3个接口并没有完整实现一个功能。这里重点讲解若依框架对于自定义session,token校验,权限验证三个方面的实现。这些对于自己实现一个简单的后端框架有不错的参考意义 功能说明 登录功能\login及token的生成 权限过滤校验 自定义session 前端如何配合 可以参考上一篇博客 登录token生成 主要解决的是用户登录、生成token和session的场景 前端 用户登录页输入usernam
前端学习笔记
weixin_51232422的博客
07-25 778
个人前段学习笔记,摘抄了部分前辈发的博客。
登录/退出功能——token原理分析
a_flying_ostrich的博客
07-08 1292
1》登录业务流程 1.在登录页面输入用户名和密码 2.调用后台接口进行验证 3.通过验证后,根据后台的响应状态跳转到项目主页 2》登录业务的相关技术点 1.HTTP是无状态的; 2.通过cookie在客户端记录状态(建议非跨域请求时使用); 3.通过session在服务器端记录; 4.通过token方式维持状态 客户端在登录页面输入用户名和密码进行登录; 服务器验证通过之后生成该用户的token并返回给客户端(token是由服务...
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 3110
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求时会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同时登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此时就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
处理用户登出并设置Token失效
weixin_73060959的博客
08-15 1504
Web应用中,处理用户登出并设置Token失效是一个关键的安全措施。Token(通常指JWT - JSON Web Tokens 或其他类型的认证令牌)是用户身份验证的一种机制,它们允许用户在无需持续向服务器发送用户名和密码的情况下,通过发送一个加密的Token来验证身份。当用户登出时,确保Token失效是非常重要的,以防止未授权访问。
JWT退出登录还是token可以继续使用
最新发布
08-08
我们讨论的是JWT(JSON Web Token)在用户退出登录后是否还能继续使用的问题。 由于JWT是无状态的,通常存储在客户端(如localStorage或cookie),服务器不保存会话状态。当用户退出登录时,客户端会删除本地的JWT...
功能性的安全性保障:TOKEN鉴权校验
Hardy Army的博客
07-24 1474
在前文功能性的安全性保障:实现强制登录和密码加密功能中,我们已经讨论了功能性的安全性保障中的两个核心议题:身份验证和密码加密。所以在本文中,我们将继续从功能性的安全性保障这个话题展开,通过对概念的细致解读、实施策略的全面分析,以及实际代码实现的展示,深入讨论其中的另外一个核心议题:TOKEN鉴权校验。
【笔记】结合CTF理解Web安全
诗酒趁年华
05-31 1357
这三者关系是互补的,当SDL出现差错时,可以通过周期性的扫描,安全评估等工作将问题及时解决,而入侵检测(suricata),WAF(ModSecurity)等系统,则可以在安全事件发生后的第一时间进行响应,并有助于时候定损,如果三者只剩其一,都可能使得公司的安全体系出现短板,给攻击者带来可乘之机。
jwt退出登录/修改密码时如何使原来的token失效
乾坤未定,你我皆是黑马
11-20 1万+
其实前端删掉这个Token不就行了吗(小声bb 不行,这样即使退出登录后拿着以前的token还是可以访问到。 看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢? 既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。 第一种办法: 登录第一次生成token时,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退出登录时,删掉数据...
退出登录token 过期
sdsdvsdvs的博客
10-03 1407
当用户退出后,他又将token给粘贴到了,很轻松就进入到了我们的页面中,导致我们的信息泄露;那我们就将用户点击,退出登录时的token给存储到redis中;只可在前端一味的清楚本地token是不行的;提前复制了我们的token;我们的token后进行token分析;我们都知道我们的token一但,发放放前段我们就不能,对他进行随时的修改;这样每当前段带着token要数据的时候,就将redis中的,token 进行对比,一但一致。我们在后端,将用户的标识信息生成了token之后由前段将数据存放在了;
如何快速让token尽快失效
weixin_45403082的博客
11-02 659
如何快速让token尽快失效 以火狐为例,点击f12,点击菜单栏中的“存储”,点击token一列,修改token的值,回到系统界面,随意点击任意一键将退回到登录界面
token主动失效的方案
lzf的博客
01-12 3493
众所周知,在 OAuth2 体系中认证通过后返回的令牌信息分为两大类:不透明令牌(opaque tokens)和透明令牌(not opaque tokens)。 不透明令牌 是一种无可读性的令牌,一般来说就是一段普通的 UUID 字符串。使用不透明令牌时资源服务不知道这个令牌是什么,代表谁,需要调用认证服务器校验、获取用户信息。使用不透明令牌采用的是 中心化 的架构。 透明令牌 一般指的是我们常说的 JWT Token,用户信息保存在 JWT 字符串中,资源服务器自己可以解析令牌不再需要去认证服务器校..
uniapp 实现退出登录 清除Token
xiaohua616的博客
06-26 2983
退出登录功能实现
退出登录如何清除token
qq_43405603的博客
09-08 9502
// 退出登录 function logout(){ // var logout = $('.logout'); // logout.click(function(){ $.ajax({ url: '/app/login/login_out', type: 'get', dataType: 'json', headers:{token:localStorage.getItem('M...
账号登录后,用户不主动退出账号,在使用过程中,session/token登录信息失效,需要重新登录
weixin_44446230的博客
02-24 2142
在pc端,用户登录后,用户不主动退出账号,在使用过程中,有一定几率会提示需要登录信息失效token失效的情况,
前端登录退出:处理Token问题(获取、缓存、失效处理)以及代码实现
背心的博客
11-05 2万+
前端登录退出:处理Token问题(获取、缓存、失效处理)以及代码实现
vue页面长时间未操作,弹出提示,清除token,退出登录
qq_46074694的博客
03-10 2800
用户长时间未操作,退出登录,清除token......
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值