JWT实战
2018年03月02日 22:36:21

阅读数:129

JWT认证流程

先来回顾下JWT的流程,jwt是存储在客户端的,服务器不需要存储jwt;客户端每次发送请求时携带token,然后到服务端验证token是否正确,是否过期,然后解码出携带的用户信息。

存在的问题 
1、Token失效问题: 
比如在浏览器端通过用户名/密码验证获得签名的Token被木马窃取。即使用户登出了系统,黑客还是可以利用窃取的Token模拟正常请求可用它访问服务器,而服务器端对此完全不知道,(因为JWT机制是无状态的),直到过期,中间服务器无法控制它.

2、 app类Token的有效时间

    token的有效时间:

        1. 如果 app 是新闻类/游戏类/聊天类等需要长时间用户粘性的. 一般可以设置1年的有效时间!

        2. 如果 app 是 支付类/银行类的. 一般token只得有效时间比较短: 15分钟左右!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

我们的解决方法是: 
服务端使用Redis缓存服务器签发给已登录用户的Token, 
每次客户端发送请求时到redis中查该用户 请求的token 和 redis存的token是否一致,不一致不允许token登录, 
如果一致,判断这个token是否可以用(主要防止修改密码和注销操作的token没失效问题) 
最后返回用户信息 
当用户修改密码和注销时直接将redis中该用户的Token设置失效。下次通过token登录,会提醒token失效,要重新登录,我们重新生成一个新的token给用户。通过redis存储token,实现主动控制 token过期失效的问题了。

封装的JWT工具类 部分代码 
生成Token码

  /**

     * 生成jwt token

     * @param userId

     * @param expireTime 过期时间戳

     * @return

     */

    public static String makeToken(String userId,Date expireTime){

        long nowMillis = System.currentTimeMillis();

        Date now=new Date(nowMillis);//签发时间精度:毫秒

        try {

            Algorithm algorithm = Algorithm.HMAC256(MyConstance.JWT_SECRET);

            return JWT.create().withIssuer(userId).withIssuedAt(now).withExpiresAt(expireTime).sign(algorithm);

        } catch (UnsupportedEncodingException exception){

            exception.printStackTrace();

        } catch (JWTCreationException exception){

            exception.printStackTrace();

        }

        return null;

    }
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19

解码和验证Token码



    /**

     * 校验toekn是否有效

     * @param userId

     * @param token

     * @return

     */

    public static boolean verifyToken(String userId,String token){

        boolean active = true;

        try {

            Algorithm algorithm = Algorithm.HMAC256(MyConstance.JWT_SECRET);//声明签名所用的算法和秘钥

            JWTVerifier verifier = JWT.require(algorithm).withIssuer(userId).build();

            verifier.verify(token);

        } catch (TokenExpiredException exception){

            //System.out.println("--- token 过期");

            active = false;

        } catch (JWTDecodeException exception){

            //System.out.println("--- token 无效");

            active = false;

        } catch (UnsupportedEncodingException exception){

            //System.out.println("--- token 无效");

            active = false;

        } catch (JWTVerificationException exception){

            //System.out.println("--- token 错误");

            active = false;

        }

        return active;

    }
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29

登录

@ApiOperation(value = "登录")

    @RequestMapping(value = "/loginWEB", method = RequestMethod.POST)

    public ResponseEntity<BaseResult> loginWEB(HttpServletRequest request, HttpServletResponse response,

        @ApiParam("用户名") @RequestParam(value = "username", required = false) String username,

        @ApiParam("密码") @RequestParam(value = "password", required = false) String password) {

        XkbbUser user=userService.getBy("username", username);

        //账号密码校验业务

        if(user==null) {

            return buildFailedInfo(ApiConstance.USER_NOT_EXIST);

        }

        if(!password.equals(user.getPassword())) {

            return buildFailedInfo(ApiConstance.PASSWORD_ERROR);

        }

        //获取用户id

        String userId=user.getId();

        //设置token过期时间为30天之后

        Date expireTime = Tool.datePlu(new Date(), 30);

        //生成JWT(JSon Web Token)

        String token=TokenUtil.makeToken(userId, expireTime);

        //更新缓存里面该用户的token:

        //    如果已登录,则使其Token失效

        TokenUtil.updateTokenAPP(userId, token);

        Map<String, Object> map = new HashMap<String, Object>();

        map.put("token", token);//服务器生成的token

        return buildSuccessInfo(map);

    }
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28

MyConstance类部分全局常量定义 
/** 
* token的缓存map名 
*/ 
public static final String KEY_TOKEN_MAP = “key_token_map”; 
/** 
* JWT生成token时加密用的secret 
*/ 
public static final String JWT_SECRET = “3MZq0BYyGcXYoXjhS4QbAM+2YdlLCwKRr2gvVJOJ”;

/**

     * 用户登录校验

     * @param userId

     * @param token

     * @return

     */

    //到redis中查该用户 请求的token 和 redis存的token是否一致,不一致不允许token登录,

    //再次根据创建时间,判断这个token是否可以用(主要防止出现修改密码和注销操作的token没失效问题)

    //失效则Redis中删除该token

    public static boolean isLogin(String userId,String token){

        if(Tool.isNotBlank(userId)) {

            if(Tool.isNotBlank(token)) {

                //到redis中查该用户 请求的token 和 redis存的token是否一致,不一致不允许token登录

                String existValue = (String) CacheUtil.hget(MyConstance.KEY_TOKEN_MAP, userId);

                //System.out.println("existValue:"+existValue);

                if(Tool.isNotBlank(existValue) && existValue.equals(token)) {

                    //再次根据创建时间,判断这个token是否可有效(主要防止出现修改密码和注销操作的token没失效问题)

                    boolean isLogin = verifyToken(userId,token);

                    //失效则Redis中删除该token

                    if(!isLogin){

                        CacheUtil.hdel(MyConstance.KEY_TOKEN_MAP,userId);

                    }

                    return isLogin;

                }

            }

        }

        return false;

    }

/**

     * 清除用户缓存token

     * @param userId

     * @return

     */

    public static String clearToken(String userId){

        CacheUtil.hdel(MyConstance.KEY_TOKEN_MAP, userId);

    }

 /**

     * 更新用户token

     * @param userId

     * @param value

     */

    public static void updateToken(String userId,String value){

        clearToken(userId);//清除缓存中旧的Token

        CacheUtil.hset(MyConstance.KEY_TOKEN_MAP, userId, value);//缓存新的Token

    }

JWT实战的更多相关文章

  1. 小D课堂-SpringBoot 2.x微信支付在线教育网站项目实战_4-3.登录检验JWT实战之封装通用方法

    笔记 3.登录检验JWT实战之封装通用方法     讲解:引入相关依赖并开发JWT工具类 1.加入相关依赖 <!-- JWT相关 -->             <dependenc ...

  2. JWT实战:使用axios+PHP实现登录认证

    上一篇文中,我们学习了什么是JWT(Json Web Token),今天我们来结合实例给大家讲述JWT的实战应用,就是如何使用前端Axios与后端PHP实现用户登录鉴权认证的过程. 查看演示 下载源码 ...

  3. JWT 实战

    上一篇我们讲解了 JWT 的基本原理和结构 你了解JWT吗?,接下来我们具体实战一下! 1. 引入依赖 <!--引入jwt--> <dependency> <groupI ...

  4. SpringBoot整合JWT实战详解

    jwt 介绍就不多说了,下面通过代码演示开发过程中jwt 的使用. (1)在pom.xml中引入对应的jar <dependency> <groupId>io.jsonwebt ...

  5. 基于JWT(Json Web Token)的ASP.NET Web API授权方式

    token应用流程 初次登录:用户初次登录,输入用户名密码 密码验证:服务器从数据库取出用户名和密码进行验证 生成JWT:服务器端验证通过,根据从数据库返回的信息,以及预设规则,生成JWT 返还JWT ...

  6. jwt揭秘(含源码示例和视频)

    JSON Web Tokens,是一种开发的行业标准 RFC 7519 ,用于安全的表示双方之间的声明.目前,jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目. 1. jwt认证流程 在项 ...

  7. jwt揭秘(含源码示例)

      JSON Web Tokens,是一种开发的行业标准 RFC 7519 ,用于安全的表示双方之间的声明.目前,jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目. 1. jwt认证流程 ...

  8. 小D课堂-SpringBoot 2.x微信支付在线教育网站项目实战_汇总

    2018年Spring Boot 2.x整合微信支付在线教育网站高级项目实战视频课程 小D课堂-SpringBoot 2.x微信支付在线教育网站项目实战_1-1.SpringBoot整合微信支付开发在 ...

  9. 什么是JWT(Json Web Token)

    什么是 JWT (Json Web Token) 用户认证是计算机安全领域一个永恒的热点话题. JWT 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该to ...

随机推荐

  1. 列式数据库~clickhouse日常管理

    clickhouse日常管理一 变量相关  1 查看变量     system.setting相关表  2 设置变量     set variables= 请注意这里是session级别,如果想永久生 ...

  2. java.io.IOException: Server returned HTTP response code: 411 for URL

    今日调用一post方式提交的http接口,此接口在测试环境ip调用时无问题,但在生产环境通过域名调用时一直报如下错误: java.io.IOException: Server returned HTT ...

  3. 数字图像处理的Matlab实现(1)—绪论

    第1章 绪论 1.1 什么是数字图像处理 一幅图像可以定义为一个二维函数\(f(x,y)\),这里的\(x\)和\(y\)是空间坐标,而在任意坐标\((x,y)\)处的幅度\(f\)被称为这一坐标位置 ...

  4. K-query SPOJ - KQUERY 离线 线段树/树状数组 区间大于K的个数

    题意: 给一个数列,一些询问,问你区间$[l.r]$大于$K$的个数 题解: 又一个"人尽皆知傻逼题"? 我们用一个01序列表示当前询问时,该位置的数字是否对答案有贡献, 显然,对 ...

  5. ES--04

    第三十一讲! 分布式文档系统 写一致性原理以及相关参数 课程大纲 (1)consistency,one(primary shard),all(all shard),quorum(default) 我们 ...

  6. python操作三大主流数据库(12)python操作redis的api框架redis-py简单使用

    python操作三大主流数据库(12)python操作redis的api框架redis-py简单使用 redispy安装安装及简单使用:https://github.com/andymccurdy/r ...

  7. recv() failed (104: Connection reset by peer) while reading response header from upstream

    2017年12月1日10:18:34 情景描述: 浏览器执行了一会儿, 报500错误 运行环境:  nginx + php-fpm nginx日志:  recv() failed (104: Conn ...

  8. LabVIEW版本控制(转)

    原文转自https://www.cnblogs.com/EltonLiang/p/7105034.html 在我们工作中,必然会遇到代码的多个版本问题,也必然会遇到版本控制问题.如果所在的公司具有良好 ...

  9. 关于EditText一些效果

    效果如图,由TextView  View(竖线) EditText与ImageView组成 首先更改draw able中shape代码 <?xml version="1.0" ...

  10. Laravel 5.2响应--后台back()->with('提示信息'),前台为什么收不到?

    ### 今天遇到了个小问题,想后台判断数据的时候,返回前台,然后弹窗提示没有数据 但是前台点了有返回,咩有提示信息 ### 网上找了很9⃣️,关于这方面的都是属于验证时候的相关问题,但是我这个跟验证没 ...