Jwt退出登陆

最新推荐文章于 2025-04-21 10:20:17 发布
原创 最新推荐文章于 2025-04-21 10:20:17 发布
· 2k 阅读 · 4 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

虽然我们使用JWT已经很方便了,但是有一个很严重的问题就是,我们没办法像Session那样去踢用户下线,什么意思呢?我们之前可以使用退出登录接口直接退出,用户Session中的验证信息也会被销毁,但是现在是无状态的,用户来管理Token令牌,服务端只认Token是否合法,那这个时候该怎么让用户正确退出登录呢?

首先我们从最简单的方案开始,我们可以直接让客户端删除自己的JWT令牌,这样不就相当于退出登录了吗,这样甚至不需要请求服务器,直接就退了

这样虽然是最简单粗暴的,但是存在一个问题,用户可以自行保存这个Token拿来使用。虽然客户端已经删除掉了,但是这个令牌仍然是可用的,如果用户私自保存过,那么依然可以正常使用这个令牌,这显然是有问题的。

目前有两种比较好的方案:

  • 黑名单方案:所有黑名单中的JWT将不可使用。

  • 白名单方案:不在白名单中的JWT将不可使用。

这里我们以黑名单机制为例,让用户退出登录之后,无法再次使用之前的JWT进行操作,首先我们需要给JWT额外添加一个用于判断的唯一标识符,这里就用UUID好了

我们使用redis实现黑名单

依赖导入:

```Plain Text org.springframework.boot spring-boot-starter-data-redis

在jwt工具类中添加让令牌失效的方法:

Java public boolean invalidateJwt(String headerToken){ String token=this.convertToken(headerToken); if (token==null){ return false; } Algorithm algorithm=Algorithm.HMAC256(key); JWTVerifier jwtVerifier = JWT.require(algorithm).build(); try {

    }
}

可以将令牌直接存到redis里面,更简单的方法是给令牌加个id,查找时直接通过id比较,因此在创建令牌是增加jwtid:

Java 在create方法中添加 .withJWTId(UUID.randomUUID().toString())

在try中获取令牌对应的id并进行检验,确定是否存在和是否过期:

Java try { DecodedJWT jwt=jwtVerifier.verify(token); String id=jwt.getId(); return deleteToken(id,jwt.getExpiresAt()); }catch (JWTVerificationException e){ return false; }

对应删除和检验方法的实现:

Java private boolean deleteToken(String uuid,Date time){ if (isInvalidToken(uuid)){ return false; } Date now=new Date();; long expire=Math.max(time.getTime()-now.getTime(),0); template.opsForValue().set(Const.JWTBLACKLIST+uuid,"",expire, TimeUnit.MILLISECONDS); return true; }

private boolean isInvalidToken(String uuid  ){
    return  Boolean.TRUE.equals(template.hasKey(Const.JWT_BLACK_LIST+uuid));
}

创建const类保存jwt黑名单

Java public class Const { public static final String JWTBLACKLIST="jwt:blacklist:"; }

编写logout方法:

Java public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {

    response.setContentType("application/json;charset=utf-8");
    PrintWriter writer = response.getWriter();
    String authorization=request.getHeader("Authorization");
    if (utils.invalidateJwt(authorization)){
        writer.write(RestBean.success().asJsonString());
    }
    else {
        writer.write(RestBean.failure(400,"token失效").asJsonString());
    }

    System.out.println("logoutsuccess");
}

}

```

在JWT中,所有颁发的token都可以再次使用,通过在服务器设立黑名单机制,才可以真正的实现用户的退出登陆。

JWT认证及登录功能实现,退出登录
pink_Pig___的博客
07-12 2223
JWT认证及登录功能的实现
如何使用jwt 完成注销(退出登录)功能
每天都要努力学习哦~~
01-26 1365
不信的的话可以自己尝试下。使用JWT应该是无状态的,这意味着你应该将所需的一切存储在payload中,并跳过对每个请求执行DB查询,但是如果你计划有一个严格的注销功能,无法等待Token自动过期,即使你已经从客户端清除了Token,然后你可能需要违背无状态规则并执行一些查询。是一个很好的选择,这将允许在内存中快速访问列表,然后,在某个中间件中,运行在每个授权请求上,你应该检查提供的令牌是否在名单中🕵️‍,如果不在的话就抛出一个未认证异常,如果有让它通过,JWT验证将处理它并确定它是否已过期或仍然有效。
Jwt登录退出
10000guo的博客
06-09 1665
【代码】Jwt登录退出
退出登录时如何借助外力使JWT令牌失效?
最新发布
码猿技术专栏
04-21 95
但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JWT行了吧。黑名单的逻辑也非常简单:注销时,将JWT放入redis中,并且设置过期时间为JWT的过期时间;白名单的逻辑很简单:认证通过时,将JWT存入redis中,注销时,将JWT从redis中移出。用JWT就因为它的无状态性,这时候又要保存它的状态?逻辑很简单,直接将退出登录JWT令牌的jti设置到Redis中,过期时间设置为JWT过期时间即可。思想很简单,JWT既然是无状态的,只能借助Redis记录它的状态,这样才能达到使其失效的目的。
java jwt退出登录模块的实现
weixin_40287378的博客
07-15 417
实现Java JWT退出登录模块的实现 整体流程 在实现Java JWT退出登录模块的过程中,我们需要完成以下步骤: 实现Java JWT退出登录模块的流程#render_9_2672761772-svg{font-family:"trebuchet ms",verdana,arial,sans-serif;font-si...
JWT退出登录方法
纠缠AI的亮子
10-29 1万+
JWT 登录之后,服务器发放 token。在到期时间之前,token 一直有效,那么如何才能实现用户登出(让 token 失效)? 黑名单校验 凡是退出登录的token都放入黑名单中,定期清理。 每次用户请求服务器都校验token是否在黑名单 版本号校验 访问时从token中取出版本号和用户id 和 redis中存储 用户id和版本号 做对比,不一致则不给访问。 用户登出的时候在redis中把用户版本号加一。 过期时间校验 登录时token附带创建时间。访问时校验redis存储的过期时间,如果创建时间大于过
【SpringSecurity】十二、集成JWT搭配Redis实现退出登录
llg___的博客
09-03 2297
因为JWT的无状态,服务端无法在使用过程中主动废止某个 token,或者更改 token 的权限。也就是说,目前,一旦 JWT 签发了,就只能等它到过期时间才能作废,即使用户已经退出登录。③ 用户每次访问时,先校验jwt是否合法,如果合法再从redis里面取出logintoken:jwt判断这个jwt还存不存在,如果不存在就说是用户已经退出登录了。注意过期时间和jwt的过期时间保持一致,jwt过期时间可查看下创建jwt时的withExpiresAt方法。,key的过期时间和token自身过期时间一致。
java jwt 退出登录代码
07-27
下面是一个示例的Java JWT退出登录代码: ```java import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; public class JwtLogoutExample { public static void main(String[] args) { ...
jwt 退出登录 TP6
07-28
在 ThinkPHP 6 中,如果要实现 JWT退出登录功能,你可以按照以下步骤进行操作: 1. 首先,你需要在 `config/jwt.php` 配置文件中设置 JWT 的相关配置,包括密钥、有效期等。 2. 创建一个名为 `Logout` 的控制器...
think PHP6集成JWT进行登录退出
szh1605598126的博客
12-01 999
1.引入php-jwt包 composer require firebase/php-jwt 2.代码 lib类文件:app\api\lib\Jwt.php <?php namespace app\api\lib; use Firebase\JWT\ExpiredException; use Firebase\JWT\JWT as JWTUtil; use think\Exception; class JWT { /** * 根据json web token设置的规则生成...
JWT生成token登录退出学习使用
weixin_44877172的博客
01-19 899
token作为登录唯一标识
jwt退出登录的解决方案
热门推荐
C4Z的博客
11-05 3万+
jwt退出登录 前言 JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。 { "姓名": "张三", "角色": "管理员", "到期时间": "2018年7月1日0点0分" } 以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。 服务器就...
Spring Security中利用JWT退出登录大部分人都写错了配置
码农小胖哥
10-14 2350
最近有个粉丝提了个问题,说他在Spring Security中用JWT退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误...
登录退出登录
weixin_45427945的博客
01-31 4346
1. 登录 1.1 接口说明 接口url:/login 请求方式:POST 请求参数: 参数名称 参数类型 说明 account string 账号 password string 密码 返回数据: { "success": true, "code": 200, "msg": "success", "data": "token" } 1.2 JWT 登录使用JWT技术。 jwt 可以生成 一个加密的token,做为用户登录的令牌,当用户登录
.net core web项目teachers表的CRUD和基于JWT登录登出以及给接口添加权限控制
myid6的博客
03-14 856
.net core web项目teachers表的CRUD和基于JWT登录登出以及给接口添加权限控制
golang学习笔记(22)-jwt-go
logiee的博客
09-04 506
jwt-go的基本创捷与解析
jwt退出登录清除token
07-28
退出登录并清除 JWT,你需要在服务器端实现以下步骤: 1. 在客户端发送一个请求,通知服务器用户要退出登录。 2. 服务器接收到请求后,将用户对应的 JWT token 加入到一个黑名单中(也可以直接删除)。 3. 当其他请求到达服务器时,服务器会检查请求中的 JWT 是否在黑名单中,如果是,则拒绝访问。 4. 客户端在收到服务器的成功响应后,应该删除本地存储的 JWT token。 注意:JWT 是无状态的,服务器不会主动清除客户端的 token。因此,客户端需要主动删除本地存储的 token,以确保用户被完全退出登录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

glassy_sky6

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值