关于jwt token失效的坑.

最新推荐文章于 2024-07-11 09:27:02 发布
最新推荐文章于 2024-07-11 09:27:02 发布
阅读量4.3w 收藏 11
点赞数
CC 4.0 BY-SA版权
分类专栏: java后端 文章标签: jwt token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37105358/article/details/80421237
本文分析了一种常见的JWT Token失效情况:当用户信息更新后,原有的Token无法通过校验,导致客户端请求失败。探讨了解决方案,即重新生成Token并替换原有Token。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近项目中使用jwt token作为客户端发送请求的验证,自己一直没有深入研究源码,造成了修改用户的手机号后导致token失效.前端无法进行二次请求,每次请求都是401未授权,一开始以为是token过期,后来查看源码发现是生成token的时候用了手机号这个字段.

    分析401错误有2类,一类是未经授权(未登录)发送请求,过滤器会将其过滤掉;第二类是token失效,token失效有token过期,或者后端的生成token的元数据发生改变,导致之前提供的token无法通过校验.

     客户端发送请求每次都携带了token,后端的JwtAuthenticationTokenFilter会对token进行校验,如果token中封装的用户信息不对,则授权失败,前端会报401未授权提示!


解决办法:

        重新生成token,让客户端将旧的token替换掉,然后发送请求即可规避此类问题.


贴一段代码

public TokenData generateToken(UserDetails userDetails, Device device) {
        JwtUser user = (JwtUser) userDetails;
        Map<String, Object> claims = new HashMap<>();
        claims.put("uid", user.getId());
        claims.put("nam", user.getName());
        claims.put("pic", user.getPic());
        final Date createdDate = timeProvider.now();
        String token = doGenerateToken(claims, userDetails.getUsername(), generateAudience(device), createdDate);
        return new TokenData(token, createdDate);
    }


JWTToken 失效与刷新机制
架构师的AI之路,分享AI应用开发架构的学习与实践。
06-16 632
随着前后端分离架构的普及,JWT(JSON Web Token)因“无状态”“自包含”等特性,成为接口身份验证的主流方案。但JWT一旦签发便无法主动失效的特性,也带来了“用户注销后Token仍有效”“权限变更后旧Token无法回收”等问题。本文将聚焦JWT Token失效场景(如正常过期、强制失效)和刷新机制(如何用“续场券”延长会话),覆盖原理、实战、安全优化全流程。本文从“电影票”的生活场景切入,逐步解析JWT Token失效原理、刷新机制设计,最后通过代码实战演示完整实现。
处理用户登出并设置Token失效
weixin_73060959的博客
08-15 1322
在Web应用中,处理用户登出并设置Token失效是一个关键的安全措施。Token(通常指JWT - JSON Web Tokens 或其他类型的认证令牌)是用户身份验证的一种机制,它们允许用户在无需持续向服务器发送用户名和密码的情况下,通过发送一个加密的Token来验证身份。当用户登出时,确保Token失效是非常重要的,以防止未授权访问。
JWT (JSON Web Token) 立即失效
HakuMaster的博客
07-11 2118
使一个 JWT (JSON Web Token) 立即失效可以通过多种方式实现,取决于具体的实现和系统需求。
jwt用户认证token出错
沈光阳的博客
01-15 4312
1. 在实际服务器上部署项目时候,用户登录,显示token认证失败 在本地测试中,我写了一个转门用于用户登录认证的认证中心,颁发token我采用ip加密后的字符串作为服务器key的盐值 代码如下 /** * 校验用户名或者密码是否正确 * @param blogUser * @return */ @PostMapping("/login") public R<Map> loginCheck(HttpServletRequest request,BlogUser blogUser) {
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 3012
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求时会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同时登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此时就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
使用JWT校验token时,有token但是token无效问题
qq_45282682的博客
12-21 2547
SpringCloud Alibaba 实战 - 如何让 jwt token 失效
BUG指挥课堂
01-24 3081
知识回顾 众所周知,在 OAuth2 体系中认证通过后返回的令牌信息分为两大类:不透明令牌(opaque tokens) 和 透明令牌(not opaque tokens)。 不透明令牌 是一种无可读性的令牌,一般来说就是一段普通的 UUID 字符串。使用不透明令牌时资源服务不知道这个令牌是什么,代表谁,需要调用认证服务器校验、获取用户信息。使用不透明令牌采用的是 中心化 的架构。 透明令牌 一般指的是我们常说的JWT Token,用户信息保存在 JWT 字符串中,资源服务器自己可以解析令牌不再需要去
JWT Token生成及验证
07-16
JWT即将过期时,用户可以使用刷新Token获取新的JWT,而旧的JWT失效。 8. **JWT在API安全中的应用**:JWT常用于API的身份验证,客户端在请求时附带JWT,服务器验证通过后才允许执行相应操作。这种方式减少了...
SpringCloud Alibaba 实战 - 如何让 jwt token 主动失效
wdjnb的博客
01-19 3962
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud al
SpringCloud Alibaba 实战:如何让 jwt token 主动失效
Java4396的博客
01-21 1908
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud a.
搞懂 JWT 这个知识点
程序员成长指北
09-22 750
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
深入理解token的作用
char56789的博客
11-08 2553
概要:Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 为什么要使用token呢? 因为它能有如下的作用: 1.Token 完全由应用管理,所以它可以避开同源策略 2.Token 可以避免 CSRF 攻击(http://dwz.cn/7joLzx) 3.Token 可以是无状态的,可以在多个服务间共享 Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求
jwt token注销_JWT生成token及过期处理方案
weixin_34118593的博客
01-27 4673
## 业务场景在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。## 基本思路- 单个token1. token(A)过期设置为15分钟2. 前端发起请求,后端验证token(A)是否过期;如...
vue项目使用jwt token验证登录 报错token无效验证失败 【已解决】
qq_40715438的博客
11-21 4572
检查了所有代码都没有问题,在所有需要token的地方都能拿到正确的token,但是在verify时仍然走的err,打印出的错误为 invalid token 最后在外网查到有人在获取token时使用了split,才注意到直接从请求头拿到的token打印出来是带双引号的,而这个双引号也被当做token的一部分进行验证了 把头尾的双引号去掉再做验证就成功了 ...
Express中使用express-jwt无法解析token的问题
weixin_46231779的博客
09-21 1148
Express框架中使用时,遇到的问题
SpringCloud Alibaba微服务实战三十五 - 实现退出登录后注销 jwt token
热门推荐
飘渺Jam的博客
09-15 1万+
大家好,我是飘渺。 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud
jwt token注销_如何用SpringBoot集成JWT实现token验证及token注销?一招教会你
weixin_39968852的博客
12-19 941
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT 可以使用HMAC算法或者是RSA的公私秘钥对进行签名。JWT 请求流程这里还要注意:光理论是不够的。在此顺便送大家十套20...
令牌桶 客户端请求_使用刷新的令牌和cookie进行安全的客户端身份验证
weixin_26636643的博客
09-27 1195
令牌桶 客户端请求To start off, this is my first article here. I’ve thought about writing it for a while now. Ever since we planned and implemented what we call a moderately secure way to actually authenticate...
怎么让jwttoken失效
最新发布
02-12
### JWT Token 注销或提前失效的方法 #### 黑名单机制 为了应对JWT无状态特性带来的挑战,可以采用黑名单机制来管理已注销的Token。当用户执行特定操作(如登出系统、修改密码),服务器会将对应的JWT加入到黑名单...
评论 28
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值