欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

基于 Redis 的 JWT令牌失效處理方案(實(shí)現(xiàn)步驟)

 更新時(shí)間:2024年03月05日 10:35:36   作者:Mr.VK  
當(dāng)用戶登錄狀態(tài)到登出狀態(tài)時(shí),對(duì)應(yīng)的JWT的令牌需要設(shè)置為失效狀態(tài),這時(shí)可以使用基于Redis 的黑名單方案來(lái)實(shí)現(xiàn)JWT令牌失效,本文給大家分享基于 Redis 的 JWT令牌失效處理方案,感興趣的朋友一起看看吧

應(yīng)用場(chǎng)景

當(dāng)用戶登錄狀態(tài)到登出狀態(tài)時(shí),對(duì)應(yīng)的JWT的令牌需要設(shè)置為失效狀態(tài),這時(shí)可以使用基于 Redis 的黑名單方案來(lái)實(shí)現(xiàn)JWT令牌失效。

基于 Redis 的黑名單方案

當(dāng)用戶需要登出系統(tǒng)時(shí),將用戶攜帶的Token進(jìn)行解析,解碼出JWT令牌,取出對(duì)應(yīng)的 UUID 過(guò)期時(shí)間 ,用過(guò)期的時(shí)間減去當(dāng)前的時(shí)間,計(jì)算出這個(gè)Key的過(guò)期時(shí)間,再以這兩個(gè)字段拼接作為 Key 并設(shè)置好過(guò)期時(shí)間存儲(chǔ)到 Redis 中,如果有黑客拿竊取出來(lái)的JWT令牌進(jìn)行登錄,只要判斷這個(gè)JWT令牌是否在黑名單就可以。

實(shí)現(xiàn)步驟

1.獲得攜帶的Token解析并取出JWT令牌的代碼

這段代碼實(shí)現(xiàn)了對(duì)指定 JWT 的驗(yàn)證和使令牌失效的操作。

  • 首先,通過(guò)調(diào)用 convertToken(headerToken) 方法將傳入的頭部令牌 headerToken 轉(zhuǎn)換成實(shí)際的 JWT 字符串 token。
  • 然后,使用 HMAC256 算法和預(yù)設(shè)的密鑰 key 創(chuàng)建一個(gè)算法實(shí)例 algorithm。
  • 接下來(lái),使用算法實(shí)例 algorithm 構(gòu)建一個(gè) JWT 驗(yàn)證器 jwtVerifier。這個(gè)驗(yàn)證器將用于驗(yàn)證 JWT 的有效性。
  • 在 try-catch 塊中,首先通過(guò)調(diào)用 jwtVerifier.verify(token) 方法對(duì) JWT 進(jìn)行驗(yàn)證。如果驗(yàn)證成功,則返回一個(gè) DecodedJWT 對(duì)象 verify,其中包含了 JWT 的解碼信息,如令牌的唯一標(biāo)識(shí)符(ID)和過(guò)期時(shí)間等。
  • 接著,調(diào)用 deleteToken(verify.getId(), verify.getExpiresAt()) 方法來(lái)刪除指定令牌,并將其加入到黑名單中進(jìn)行失效處理。這里使用了 verify 對(duì)象中的 ID 和過(guò)期時(shí)間作為參數(shù)。
  • 最后,如果在驗(yàn)證 JWT 過(guò)程中發(fā)生了 JWTVerificationException 異常,即 JWT 驗(yàn)證失敗,則捕獲該異常,并返回 false 表示令牌失效操作失敗。
    /**
     * 讓指定Jwt令牌失效
     * @param headerToken 請(qǐng)求頭中攜帶的令牌
     * @return 是否操作成功
     */
    public boolean invalidateJwt(String headerToken){
        String token = this.convertToken(headerToken);
        Algorithm algorithm = Algorithm.HMAC256(key);
        JWTVerifier jwtVerifier = JWT.require(algorithm).build();
        try {
            DecodedJWT verify = jwtVerifier.verify(token);
            return deleteToken(verify.getId(), verify.getExpiresAt());
        } catch (JWTVerificationException e) {
            return false;
        }
    }

2.檢查指定 UUID 的令牌是否為無(wú)效的(已加入黑名單)

這段代碼用于檢查指定 UUID 的令牌是否為無(wú)效的(已加入黑名單),通過(guò)判斷 Redis 數(shù)據(jù)庫(kù)中是否存在相應(yīng)的鍵來(lái)決定令牌的有效性。如果鍵存在,則表示令牌已失效;如果鍵不存在,則表示令牌仍然有效。

    /**
     * 驗(yàn)證Token是否被列入Redis黑名單
     * @param uuid 令牌ID
     * @return 是否操作成功
     */
    private boolean isInvalidToken(String uuid){
        return Boolean.TRUE.equals(template.hasKey(Const.JWT_BLACK_LIST + uuid));
    }

3.將Token列入Redis黑名單中

這段代碼實(shí)現(xiàn)了對(duì)指定令牌的刪除和加入黑名單的操作,用于管理令牌的有效性和安全性。

  • 首先,通過(guò)調(diào)用 isInvalidToken(uuid) 方法來(lái)檢查指定的 UUID 是否為無(wú)效的令牌。如果 isInvalidToken 方法返回 true,則說(shuō)明該令牌無(wú)效,此時(shí)直接返回 false,不執(zhí)行后續(xù)操作。
  • 獲取當(dāng)前時(shí)間 now,然后計(jì)算令牌的過(guò)期時(shí)間與當(dāng)前時(shí)間的差值,并取最大值作為令牌的失效時(shí)間 expire。這里使用了 Math.max 方法來(lái)確保失效時(shí)間不會(huì)小于 0。
  • 最后,通過(guò) Redis 的 template 對(duì)象調(diào)用 opsForValue().set() 方法,將指定 UUID 的令牌加入到名為 Const.JWT_BLACK_LIST + uuid 的鍵中,并設(shè)置過(guò)期時(shí)間為 expire 毫秒。這樣就將該令牌加入到了黑名單中,使其在一定時(shí)間后失效。
  • 最終,方法返回 true 表示成功刪除令牌并將其加入黑名單。
    /**
     * 將Token列入Redis黑名單中
     * @param uuid 令牌ID
     * @param time 過(guò)期時(shí)間
     * @return 是否操作成功
     */
    private boolean deleteToken(String uuid, Date time){
        if(this.isInvalidToken(uuid))
            return false;
        Date now = new Date();
        long expire = Math.max(time.getTime() - now.getTime(), 0);
        template.opsForValue().set(Const.JWT_BLACK_LIST + uuid, "", expire, TimeUnit.MILLISECONDS);
        return true;
    }
public final class Const {
    //JWT令牌
    public final static String JWT_BLACK_LIST = "jwt:blacklist:";
    public final static String JWT_FREQUENCY = "jwt:frequency:";
}

對(duì)應(yīng)完整的代碼如下:

@Component
public class JwtUtils {
    @Autowired
    private StringRedisTemplate template;
    @Value("${spring.security.jwt.key}")
    String key;
    @Value("${spring.security.jwt.expire}")
    int expire;
    /**
     * 讓指定Jwt令牌失效
     * @param headerToken 請(qǐng)求頭中攜帶的令牌
     * @return 是否操作成功
     */
    public boolean invalidateJwt(String headerToken){
        String token = this.convertToken(headerToken);
        Algorithm algorithm = Algorithm.HMAC256(key);
        JWTVerifier jwtVerifier = JWT.require(algorithm).build();
        try {
            DecodedJWT verify = jwtVerifier.verify(token);
            return deleteToken(verify.getId(), verify.getExpiresAt());
        } catch (JWTVerificationException e) {
            return false;
        }
    }
    /**
     * 將Token列入Redis黑名單中
     * @param uuid 令牌ID
     * @param time 過(guò)期時(shí)間
     * @return 是否操作成功
     */
    private boolean deleteToken(String uuid, Date time){
        if(this.isInvalidToken(uuid))
            return false;
        Date now = new Date();
        long expire = Math.max(time.getTime() - now.getTime(), 0);
        template.opsForValue().set(Const.JWT_BLACK_LIST + uuid, "", expire, TimeUnit.MILLISECONDS);
        return true;
    }
    /**
     * 驗(yàn)證Token是否被列入Redis黑名單
     * @param uuid 令牌ID
     * @return 是否操作成功
     */
    private boolean isInvalidToken(String uuid){
        return Boolean.TRUE.equals(template.hasKey(Const.JWT_BLACK_LIST + uuid));
    }
    public DecodedJWT resolveJwt(String headerToken) {
        String token = this.convertToken(headerToken);
        if (token == null) {
            return null;
        }
        Algorithm algorithm = Algorithm.HMAC256(key);
        JWTVerifier jwtVerifier = JWT.require(algorithm).build();
        try {
            DecodedJWT verify = jwtVerifier.verify(token);
            if(this.isInvalidToken(verify.getId())) return null;
            Date expireAt = verify.getExpiresAt();
            return new Date().after(expireAt) ? null : verify;
        } catch (JWTVerificationException e) {
            return null;
        }
    }
    public UserDetails toUser(DecodedJWT jwt) {
        Map<String, Claim> claims = jwt.getClaims();
        return User.withUsername(claims.get("name").asString())
                .password("********")
                .authorities(claims.get("authorities").asArray(String.class))
                .build();
    }
    public Integer toId(DecodedJWT jwt) {
        Map<String, Claim> claims = jwt.getClaims();
        return claims.get("id").asInt();
    }
    public String createJwt(UserDetails details, int id, String username) {
        Algorithm algorithm = Algorithm.HMAC256(key);
        Date expire = this.expireTime();
        return JWT.create()
                .withJWTId(UUID.randomUUID().toString())
                .withClaim("id", id)
                .withClaim("name", username)
                .withClaim("authorities", details.getAuthorities().stream().map(GrantedAuthority::getAuthority).toList())
                .withExpiresAt(expire)
                .withIssuedAt(new Date())
                .sign(algorithm);
    }
    public Date expireTime() {
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.HOUR, expire * 24);
        return calendar.getTime();
    }
    private String convertToken(String headerToken) {
        if(headerToken == null || !headerToken.startsWith("Bearer ")) {
            return null;
        }
        return headerToken.substring(7);
    }
}

到此這篇關(guān)于基于 Redis 的 JWT令牌失效方案的文章就介紹到這了,更多相關(guān)Redis JWT令牌失效內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • Redis突現(xiàn)拒絕連接問(wèn)題處理方案

    Redis突現(xiàn)拒絕連接問(wèn)題處理方案

    這篇文章主要介紹了Redis突現(xiàn)拒絕連接問(wèn)題處理方案,分析原因是由于redis與業(yè)務(wù)共一個(gè)服務(wù)器,內(nèi)存只有8G,業(yè)務(wù)服務(wù)啟動(dòng)過(guò)多,內(nèi)存不足導(dǎo)致redis拒絕連接,需要的朋友可以參考下
    2024-02-02
  • redis 主從備份及其主備切換的操作

    redis 主從備份及其主備切換的操作

    這篇文章主要介紹了redis 主從備份及其主備切換的操作,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。一起跟隨小編過(guò)來(lái)看看吧
    2021-04-04
  • Redis客戶端工具之RedisInsight的下載方式

    Redis客戶端工具之RedisInsight的下載方式

    RedisInsight是Redis官方提供的圖形化客戶端工具,下載步驟包括訪問(wèn)Redis官網(wǎng)、選擇RedisInsight、下載鏈接、注冊(cè)信息、安裝并測(cè)試連接
    2025-03-03
  • Redis主從配置和底層實(shí)現(xiàn)原理解析(實(shí)戰(zhàn)記錄)

    Redis主從配置和底層實(shí)現(xiàn)原理解析(實(shí)戰(zhàn)記錄)

    今天給大家分享Redis主從配置和底層實(shí)現(xiàn)原理解析,本文通過(guò)實(shí)戰(zhàn)項(xiàng)目給大家源碼解析,對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友參考下吧
    2021-06-06
  • Redis服務(wù)之高可用組件sentinel詳解

    Redis服務(wù)之高可用組件sentinel詳解

    這篇文章主要介紹了Redis服務(wù)之高可用組件sentinel,本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2020-08-08
  • Windows環(huán)境部署Redis集群

    Windows環(huán)境部署Redis集群

    這篇文章主要為大家詳細(xì)介紹了Windows環(huán)境部署Redis集群的相關(guān)資料,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下
    2017-05-05
  • Redis如何優(yōu)雅的刪除特定前綴key

    Redis如何優(yōu)雅的刪除特定前綴key

    這篇文章主要給大家介紹了關(guān)于Redis如何優(yōu)雅的刪除特定前綴key的相關(guān)資料,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家學(xué)習(xí)或者使用Redis具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
    2019-06-06
  • 使用Redis命令操作數(shù)據(jù)庫(kù)的常見(jiàn)錯(cuò)誤及解決方法

    使用Redis命令操作數(shù)據(jù)庫(kù)的常見(jiàn)錯(cuò)誤及解決方法

    由于Redis是內(nèi)存數(shù)據(jù)庫(kù),因此可能會(huì)存在一些安全問(wèn)題,下面這篇文章主要給大家介紹了關(guān)于使用Redis命令操作數(shù)據(jù)庫(kù)的常見(jiàn)錯(cuò)誤及解決方法,文中通過(guò)代碼介紹的非常詳細(xì),需要的朋友可以參考下
    2024-02-02
  • Redis操作命令總結(jié)

    Redis操作命令總結(jié)

    這篇文章主要介紹了Redis操作命令總結(jié),本文講解了key pattern 查詢相應(yīng)的key、字符串類(lèi)型的操作、鏈表操作、hashes類(lèi)型及操作、集合結(jié)構(gòu)操作、有序集合、服務(wù)器相關(guān)命令等內(nèi)容,需要的朋友可以參考下
    2015-03-03
  • Redis熱點(diǎn)Key問(wèn)題分析與解決方案

    Redis熱點(diǎn)Key問(wèn)題分析與解決方案

    文章主要介紹了Redis熱點(diǎn)Key的概念、危害、產(chǎn)生原因以及如何檢測(cè)和解決熱點(diǎn)Key問(wèn)題,熱點(diǎn)Key會(huì)導(dǎo)致Redis節(jié)點(diǎn)負(fù)載過(guò)高、集群負(fù)載不均、性能下降、數(shù)據(jù)不一致和緩存擊穿等問(wèn)題,解決熱點(diǎn)Key問(wèn)題的方法包括數(shù)據(jù)分片、讀寫(xiě)分離、緩存預(yù)熱、限流和熔斷降級(jí)
    2025-01-01

最新評(píng)論