灵活管理 JWT:临时开放接口访问与密码修改后的令牌失效

原创 于 2025-08-04 14:22:49 发布 · 433 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维 #分布式 #微服务 #后端 #go

在使用 JSON Web Token(JWT) 进行身份验证时,有时需要应对一些特殊场景,如对某些接口临时开放访问权限或在用户修改密码后使旧令牌立即失效。本文将探讨如何在不修改代码的情况下实现这些需求,并介绍具体的实现方案。

一、临时开放接口访问

在某些情况下,如促销活动期间,可能需要临时开放某些接口的访问权限,而不进行身份验证。为了实现这一目标,同时保持系统的灵活性和安全性,可以采取以下几种策略:

1. 基于 IP 白名单

可以通过配置 IP 白名单来允许特定 IP 地址范围内的请求绕过身份验证。这种方法适用于内部测试或合作伙伴接入等场景。

func isWhitelistedIP(ip string) bool {
    whitelist := []string{"192.168.1.0/24", "10.0.0.0/8"} // 示例白名单
    for _, cidr := range whitelist {
        _, ipNet, err := net.ParseCIDR(cidr)
        if err != nil {
            continue
        }
        if ipNet.Contains(net.ParseIP(ip)) {
            return true
        }
    }
    return false
}

2. 使用环境变量控制

可以在配置文件或环境变量中设置一个标志位,决定是否开启免验证模式。这种方式无需修改代码,只需调整配置即可生效。

// config.yaml
disable_auth: false

func authenticateRequest(r *http.Request) error {
    disableAuth, _ := strconv.ParseBool(os.Getenv("DISABLE_AUTH"))
    if disableAuth {
        return nil // 免验证模式下直接通过
    }

    tokenString := extractToken(r)
    _, err := validateToken(tokenString)
    return err
}

3. 动态路由规则

利用 API 网关或反向代理服务器(如 Nginx、Kong),可以根据时间、路径或其他条件动态调整路由规则,实现临时开放接口的目的。

# nginx.conf
map $uri $allow_access {
    default "";
    ~^/promotion/.+ 1;
}

server {
    location / {
        if ($allow_access) {
            # 跳过认证逻辑
        } else {
            # 正常认证逻辑
        }
    }
}

二、用户修改密码后让旧令牌失效

当用户修改密码后,出于安全考虑,应使所有已发放的 JWT 令牌立即失效。以下是几种常见的解决方案:

1. 黑名单机制

维护一个令牌黑名单,记录所有需要失效的令牌。每次收到请求时,检查令牌是否存在于黑名单中。

var blacklist = make(map[string]struct{})

func invalidateToken(tokenString string) {
    blacklist[tokenString] = struct{}{}
}

func validateToken(tokenString string) error {
    if _, exists := blacklist[tokenString]; exists {
        return errors.New("token has been invalidated")
    }

    // 继续正常验证逻辑...
    return nil
}

2. 版本号或修订号

在 JWT 的 Payload 中添加一个版本号或修订号字段,每当用户修改密码时更新该值。客户端在获取新令牌时会包含最新的版本号,而旧令牌由于版本不符将被视为无效。

{
    "sub": "1234567890",
    "version": 1,
    "exp": 1691049422
}
func updateVersionForUser(userID string) error {
    // 更新数据库中的用户版本号
    return nil
}

func validateToken(tokenString string) error {
    claims, err := parseTokenClaims(tokenString)
    if err != nil {
        return err
    }

    user, err := getUserByID(claims["sub"].(string))
    if err != nil {
        return err
    }

    if int(claims["version"].(float64)) != user.Version {
        return errors.New("token version mismatch")
    }

    return nil
}

3. 短期令牌与刷新令牌组合

采用短期有效的访问令牌(如 15 分钟)和长期有效的刷新令牌(如一周)。当用户修改密码时,通知客户端清除本地存储的刷新令牌,迫使用户重新登录获取新的令牌。

func changePassword(userID string, newPassword string) error {
    // 更新用户密码
    // ...

    // 通知客户端清除刷新令牌
    notifyClientToInvalidateRefreshToken(userID)
    return nil
}

4. 强制登出机制

对于支持 WebSocket 或长连接的应用,可以在用户修改密码后主动推送消息给客户端,要求其立即登出并重新登录。

func broadcastLogoutNotification(userID string) {
    // 发送广播通知给所有在线设备
}

三、总结

无论是临时开放接口访问还是在用户修改密码后使旧令牌失效,都需要根据具体业务需求选择合适的实现方案。通过合理设计系统架构和引入必要的安全机制,可以在保证用户体验的同时确保系统的安全性。

希望这篇文章能帮助你深入理解 如何灵活管理 JWT 令牌,并在实际项目中灵活运用这些技术。

JWT 的 Token 失效刷新机制
架构师的AI之路,分享AI应用开发架构的学习与实践。
06-16 814
随着前后端分离架构的普及,JWT(JSON Web Token)因“无状态”“自包含”等特性,成为接口身份验证的主流方案。但JWT一旦签发便无法主动失效的特性,也带来了“用户注销后Token仍有效”“权限变更后旧Token无法回收”等问题。本文将聚焦JWT Token的失效场景(如正常过期、强制失效)和刷新机制(如何用“续场券”延长会话),覆盖原理、实战、安全优化全流程。本文从“电影票”的生活场景切入,逐步解析JWT Token的失效原理、刷新机制设计,最后通过代码实战演示完整实现。
深入浅出 JWT:认证原理实战指南
最新发布
学习和分享计算机相关知识,希望可以帮助到您
09-19 938
JWT 认证原理实现指南 摘要:本文全面解析 JWT(JSON Web Token)技术,涵盖其结构组成、认证流程及具体实现方法。JWT 由 Header(算法/类型)、Payload(用户数据)和 Signature(防篡改签名)三部分组成,具备无状态、安全可靠的特性,广泛应用于用户认证和 API 授权场景。文章详细阐述了 JWT 认证的完整流程:用户登录→服务端签发→客户端存储→请求携带→服务端验证,并提供了完整的 Java 实现代码示例,包括依赖引入、令牌生成/解析方法及可直接使用的工具类。通过示例
SpringBoot实现6种JWT令牌失效方案
风象南的专栏
06-16 1154
每种方案都有其优缺点和适用场景,选择合适的方案取决于应用的安全需求、性能要求和架构设计。在实际应用中,常常需要组合使用多种策略,构建多层次的安全防护。
JWT 篡改和模糊测试
2401_85480529的博客
09-14 662
这些可能包括更改用户名或用户ID以接管另一个账户,调整你在应用程序中的角色列表,或启用管理员属性。你可以使用jwt_tool的-T标志进入交互式篡改模式,修改头部和有效载荷声明。如果你更喜欢即时更改声明,可以使用-I标志注入声明和值。将此其他选项一起使用,如签名(-S)或漏洞利用(-X)。在注入模式(-I)下执行模糊测试,通过指定一个文本文件,将多个值注入到一系列令牌中。模糊测试对于测试有效载荷声明中的注入攻击也很有用:如XSS和SQLi攻击。如何添加你在应用程序中看到的其他变量或参数的声明?
JWT
MoYu's Blog
04-24 595
JWT 1.什么是JWT JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简介的、自包含的协议格式用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任,JWT可以使用HMAC算法或使用RSA的公钥私钥对来签名,防止被篡改。 官网 https://jwt.io/ 标准 https://tools.ietf.org/html/rfc7519 优点: jwt基于ison,非常方便解析 可以在令牌中自定义丰富的内容,易扩展。 通过非对称加密算法及数
使用JWT保护Web应用时涉及到修改密码、注销、token续签解决方案
binzai325的专栏
06-28 1711
1. 更改密码时:当用户更改密码时,请注意用户数据库中的更改密码时间,因此当更改密码时间大于令牌创建时间时,令牌无效。因此可以很快将其它的会话也给注销掉。 2. 当用户注销时:当用户注销时,将令牌保存在单独的数据库(如redis)中(例如:InvalidTokenDB并在令牌过期时从Db中删除令牌)。因此,用户从相应的设备注销,他在其他设备中的会话保持不受干扰。 3.token续签: 生成两个token,分别是access_token【过期时间设置30分钟】、refresh_token【过期时间设置3
接口使用jwt返回token_基于JWT的token认证
weixin_31237295的博客
01-12 2118
阿里云API网关在Json Web Toke(JWT)这种结构化令牌的基础上实现了一套基于用户体系对用户的API进行授权访问的机制,满足用户个性化安全设置的需求。一、基于token的认证1.1 简介很多对外开放的API需要识别请求者的身份,并据此判断所请求的资源是否可以返回给请求者。token就是一种用于身份验证的机制,基于这种机制,应用不需要在服务端保留用户的认证信息或者会话信息,可实现无状态、...
使用JWT令牌机制进行接口请求鉴权
北海之灵的博客
07-19 1638
1.JWT的使用 2.双令牌模式 3.无感刷新 token
实现开放平台API安全设计的JWT令牌机制
资源摘要信息:"该资源包名为'lck-jwt-token.rar',其核心内容是介绍如何基于令牌(Token)方式实现互联网开放平台API的安全性设计调用。文档详细阐述了使用accessToken进行API接口调用的机制,主要目的是防止数据...
Nuxt Refresh JWT:扩展功能以刷新令牌
比如,开发者可以选择在用户访问任何受保护的路由前自动检查JWT的有效性,并在令牌失效前进行刷新。这一过程对用户是透明的,用户无需重新登录即可无缝地继续使用应用。 该模块的功能扩展涉及到Nuxt.js的中间件...
【无标题】JWT爆破篡改工具-离线
weixin_45763006的博客
04-03 1929
JWT令牌从爆破到篡改,离线状态完美闭环。
spring-security
weixin_44971379的博客
02-23 418
JMT 组成 头部 Header(头) 作用:记录令牌类型、签名算法等 例如:{“alg":"HS256","type","JWT} 经过Base64Url编码 Payload 装载的数据 Payload(有效载荷)作用:携带一些用户信息 例如{"userId":"1","username":"mayikt"} 经过Base64Url编码 Payload 推荐使用声明 iss: jwt签发者 sub: jwt所面向的用户 aud: 接收jwt的一方 exp: jwt的过期时间,这个过期时间必须要
Nginx(24)-Nginx Plus增强功能之身份验证JWT
davidwkx的博客
12-13 2204
使用NGINX Plus,可以使用JWT身份验证来控制对资源的访问JWT 规范是 OpenID Connect 的重要基础,它为 OAuth 2.0 生态系统提供了单点登录令牌JWT 本身还可以用作身份验证凭证,相比传统 API 密钥,它提供了一种更好的对基于 Web 的 API 的访问控制。API和微服务的部署者也在转向JWT标准,因为它的简单性和灵活性。使用JWT身份验证,客户端提供一个JSON Web令牌,该令牌将根据本地密钥文件或远程服务进行验证。
JWT的加密解密原理,token登出、改密失效、自动续期
热门推荐
qq_1149513559的博客
07-10 2万+
1.两种token认证方式 1.传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问时,需要携带token,服务端获取token后再去数据库获取token做校验。 2.JWT的token认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token做校验 3. 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 2.jwt的token加密解密过程 2.1 生
jwt退出登录/修改密码时如何使原来的token失效
乾坤未定,你我皆是黑马
11-20 1万+
其实前端删掉这个Token不就行了吗(小声bb 不行,这样即使退出登录后拿着以前的token还是可以访问到。 看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢? 既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。 第一种办法: 登录第一次生成token时,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退出登录时,删掉数据...
SessionJWT(实现JWT刷新后端限制授权)
泠青的博客
10-21 7038
后端项目地址就不剥离开了,自己解读(中间件那) 前端项目地址(可能是空的,为还没上传O(∩_∩)O哈哈~)前言Hello World!怕是大多数程序员写的第一句代码了吧。我就是用C语言写的第一个代码就是它了。虽然现在没有从事有关C语言的工作,不过还是受益于学习它所经历的每一行代码。 登录注册怕是写web应用里的Hello World!级存在了。第一份工作做的是j2ee和app,做的第一个模块就算
修改jwt过期时间_服务端实现JWT主动失效
weixin_39777213的博客
01-29 4877
引言使用JWT时,有一个十分头疼问题就是:用户主动注销、强制登出(禁止登陆)、忘记密码修改密码JWT续签、踢出下线时,服务器不能让token主动失效!本文将探索关于这个问题的解决方案。目录:什么是JWTJWT的特点JWT主动失效方案JWT主动失效最佳实践进阶优化总结1.什么是JWTJWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方...
2021-09-10 jwt的内置签发方式修改返回格式 jwt签发的源码分析 drf_jwt认证的token源码 自定义user表实现jwt的token签发 RBAC介绍 simple-ui的使用
m0_56274379的博客
09-10 444
上节回顾 1 过滤的源码分析 -视图类中配置类属性:filter_backends = ['过滤类'] -必须继承他俩ListModelMixin+GenericAPIView -ListModelMixin的list方法中执行了self.filter_queryset,视图类 -GenericAPIView找filter_queryset方法 for backend in list(self.filter_backends): queryset = back
在更改密码和注销时使JWT无效的最佳做法?
延宝小白马的博客
06-21 9650
不使用刷新令牌: 1. 更改密码时:当用户更改密码时,请注意用户数据库中的更改密码时间,因此当更改密码时间大于令牌创建时间时,令牌无效。因此可以很快将其它的会话也给注销掉。 2. 当用户注销时:当用户注销时,将令牌保存在单独的数据库中(例如:InvalidTokenDB并在令牌过期时从Db中删除令牌)。因此,用户从相应的设备注销,他在其他设备中的会话保持不受干扰。 因此,在使J...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值