基于 Redis 的 JWT令牌失效方案

最新推荐文章于 2024-08-15 16:16:45 发布
最新推荐文章于 2024-08-15 16:16:45 发布
阅读量1.7k 收藏 24
点赞数 16
分类专栏: Redis SpringBoot 后端 文章标签: redis spring boot 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mr_VK/article/details/136456365
版权
文章介绍了如何在用户登出时,利用Redis实现JWT令牌的失效处理,包括解析Token、验证、删除并存储在黑名单中,以增强系统的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

应用场景

当用户登录状态到登出状态时,对应的JWT的令牌需要设置为失效状态,这时可以使用基于 Redis 的黑名单方案来实现JWT令牌失效。

基于 Redis 的黑名单方案

当用户需要登出系统时,将用户携带的Token进行解析,解码出JWT令牌,取出对应的 UUID 过期时间 ,用过期的时间减去当前的时间,计算出这个Key的过期时间,再以这两个字段拼接作为 Key 并设置好过期时间存储到 Redis 中,如果有黑客拿窃取出来的JWT令牌进行登录,只要判断这个JWT令牌是否在黑名单就可以。

实现步骤

1.获得携带的Token解析并取出JWT令牌的代码

这段代码实现了对指定 JWT 的验证和使令牌失效的操作。

  1. 首先,通过调用 convertToken(headerToken) 方法将传入的头部令牌 headerToken 转换成实际的 JWT 字符串 token。
  2. 然后,使用 HMAC256 算法和预设的密钥 key 创建一个算法实例 algorithm。
  3. 接下来,使用算法实例 algorithm 构建一个 JWT 验证器 jwtVerifier。这个验证器将用于验证 JWT 的有效性。
  4. 在 try-catch 块中,首先通过调用 jwtVerifier.verify(token) 方法对 JWT 进行验证。如果验证成功,则返回一个 DecodedJWT 对象 verify,其中包含了 JWT 的解码信息,如令牌的唯一标识符(ID)和过期时间等。
  5. 接着,调用 deleteToken(verify.getId(), verify.getExpiresAt()) 方法来删除指定令牌,并将其加入到黑名单中进行失效处理。这里使用了 verify 对象中的 ID 和过期时间作为参数。
  6. 最后,如果在验证 JWT 过程中发生了 JWTVerificationException 异常,即 JWT 验证失败࿰
最低0.47元/天 解锁文章
SpringCloud Alibaba 实战 - 如何让 jwt token 主动失效
wdjnb的博客
01-19 3912
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud al
redis 缓存jwt令牌设置更新时间 BUG修复
2202_75352238的博客
06-16 711
就是 我 redis中存储的键 名 为token 值 是jwt令牌 ,但是如果 用户a 登录 之后 创建一个 键 为token的 键值对,如果用户b登录,创建的的键名也是 token ,这样用户b的 jwt 会覆盖 用户a的,就会导致 用户a 的token 会失效呀,这真是一个大大的bug , 按照我目前的水平,我想到了一下 的解决方案 ,既然 token 的键会覆盖,那么我们给 token的键 加上一个唯一标识不就好了。我们apifox进行登录接口的依次登录 ,然后观察 redis中的缓存数据。
jwt验证方式下挤下线,token失效,不能重复 功能实现
爱音乐的程序猿的博客
07-16 3378
jwt是一种无状态的身份验证方式,简单来说就是服务器不保存用户的信息状态。用户权限登录信息保存在token里,这样服务器只需要验证jwt token就能获取到用户权限相关信息 但是jwt验证过期只有生成的时候会设置过期时间,要想时之前的token失效可以借助于过滤器和缓存来实现 处理方式有很多种,这里拿spring security举例 重写 ...
JWT (JSON Web Token) 立即失效
HakuMaster的博客
07-11 1821
使一个 JWT (JSON Web Token) 立即失效可以通过多种方式实现,取决于具体的实现和系统需求。
使用Redis来实现JWT令牌主动失效机制
记得开心一点嘛的博客
08-07 680
使用Redis来实现JWT令牌主动失效机制。
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 2899
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求时会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同时登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此时就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
JWT的加密解密原理,token登出、改密失效、自动续期
热门推荐
u013733643的博客
03-13 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问时,需要携带token,服务端获取token后再去数据库获取token做校验。 JWT的token认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 2. jwt的token加密解密过程 2.1 生成
登录优化(Redis令牌失效
m0_63624728的博客
07-27 427
4.下载redis(课程附件中有),启动redis-server.exe服务(有问题看错误笔记4.),通过redis-cli.exe图形化界面查询,也可以通过java代码测试。我们登录成功时会得到一个令牌,而当我们修改密码重新登录后会得到一个新令牌,但是这时旧令牌仍然可以使用,这就有很大的安全隐患。5.正式写redis令牌失效机制,在Controller的登录中加上当登录时,将token令牌写入redis,先自动装配。中没有该令牌,则无法登录。来存储令牌,当外界登录时,需要验证令牌是否在。
Spring Cloud Security 实战,退出登录时如何借助外力使JWT令牌失效
weixin_57907028的博客
01-14 496
今天这篇文章介绍一下如何在修改密码、修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JWT行了吧。额,社会本就复杂
jwt+redis实现登录认证
每天学习一点点
02-17 1998
上面代码是自定义的登录拦截器,在请求到来后,控制器方法执行前,会进入到拦截器的preHandle方法中,在这个方法里面,或获取到请求头中的Authorization属性值,也就是jwt的值,然后再获取到redis中的值,redis中key和values是相同的,都是jwt字符串的内容,所以这里是用jwt的值作为key去获取value,如果value有值则说明该请求是可以放行的(已经登录过),否则拦截请求,返回响应码401。这样原来的jwt失效了,无法使用原来的jwt进行登录认证。JwtUtil工具类。
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 7342
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
JWT失效方式---------django rest framework jwt
horSun
10-24 3329
前因 项目通过 drf jwt 来实现用户的验证,在登出和异设备登入的时候都需要旧的jwt失效,但是drf jwt没有内置失效方法,所以通过JWT_GET_USER_SECRET_KEY的修改来使之前的user jwt 失效 原理 首先我们得了解jwt是通过加解密实现的一种用户验证方式,所以我们能够通过添加JWT_GET_USER_SECRET_KEY,通过一个方法 jwt_ge...
处理用户登出并设置Token失效
最新发布
weixin_73060959的博客
08-15 1032
在Web应用中,处理用户登出并设置Token失效是一个关键的安全措施。Token(通常指JWT - JSON Web Tokens 或其他类型的认证令牌)是用户身份验证的一种机制,它们允许用户在无需持续向服务器发送用户名和密码的情况下,通过发送一个加密的Token来验证身份。当用户登出时,确保Token失效是非常重要的,以防止未授权访问。
ChatGPT:为什么说 JWT 是无状态的,无法实现 Token 的作废,例如用户登出系统、修改密码等场景
XRT_knives的博客
07-17 902
ChatGPT:为什么说 JWT 是无状态的,无法实现 Token 的作废,例如用户登出系统、修改密码等场景
redis缓存token设置jwt令牌过期时间
2202_75352238的博客
05-30 1393
在上文中 我们已经设置了自定义登录接口自定义拦截器jwt登录校验接口模拟账号登录_jwt自定义拦截器-优快云博客但是上文jwt过期时间是由yml文件中配置的,比较不优雅,我们今天来用redis缓存token 的方法来进行 jwt的过期设置。
中间件学习-jwt登录验证
weixin_43596589的博客
07-30 1060
中间件学习-jwt登录验证 jwt json web token 简要说明 前端传验证信息到后端,后端验证通过,返回一个对象,只不过这个对象是被加密的,这样后端就可以为无状态的,每次请求的时候,请求头带上token ,里面封装了对象的信息,我们只需要用拦截器进行拦截,解析token,后端就可以知道是谁登录了界面,可以设置相应的超时时间,超时时间不应太长或者太短,根据实际情况而定,超时用户就需要从新登录 优点: 减少服务器的压力,不用向以前一样将对象保存在session里面,或者是利用redis保存信息,因为
JWT(java web token)
LC的博客
12-08 808
JWT(java web token) JWT包含三部分: Header 头部 Payload 负载 Signature 签名 其结构看起来是这样的 Header.Payload.Signature。 #JWT的组成 ##Header 在header中通常包含了两部分:token类型和采用的加密算法。{ “alg”: “HS256”, “typ”: “JWT”} 接下来对这部分内容使用 Base64Url 编码组成了JWT结构的第一部分。 ##Payload 它包含了claim, Claim是一些实体(通常
在Gin中使用JWT做认证以及JWT的续签方案
Monkey_D_Newdun的博客
01-31 3268
记录了一下在Gin中简单的使用JWT,并且想了一个简单的Token续签方案,不需要服务端保存Token的状态,前端也不需要过多的配合
Spring Cloud实战 | 最七篇:Spring Cloud Gateway+Spring Security OAuth2集成统一认证授权平台下实现注销使JWT失效方案
竹林幽深
10-07 1223
https://blog.51cto.com/u_12386660/4909284
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值