退出登录使JWT失效的解决方案
2019-08-20 本文已影响0人
朱付生
项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。
查了下资料,在 segmentfault上看到以下这段话。
其实要完美地失效JWT是没办法做到的。
"Actually, JWT serves a different purpose than a session and it is not possible to forcefully delete or invalidate an existing token."
这篇文章写得比较简单易懂:https://medium.com/devgorilla...
有以下几个方法可以做到失效 JWT token:
- 将 token 存入 DB(如 Redis)中,失效则删除;但增加了一个每次校验时候都要先从 DB 中查询 token 是否存在的步骤,而且违背了 JWT 的无状态原则(这不就和 session 一样了么?)。
- 维护一个 token 黑名单,失效则加入黑名单中。
- 在 JWT 中增加一个版本号字段,失效则改变该版本号。
- 在服务端设置加密的 key 时,为每个用户生成唯一的 key,失效则改变该 key。
最后决定使用Redis建立一个白名单,大体思路如下:
- 1、生成Jwt的时候,将Jwt Token存入redis中
- 2、扩展Jwt的验证功能,验证redis中是否存在数据,如果存在则token有效,否则无效
- 3、实现removeAccessToken功能,在该方法内删除redis对应的key。
一、将Jwt Token存入Redis中
项目中使用的TokenStore为JwtTokenStore,JwtTokenStore的storeAccessToken是个空方法,我实现了方法,在该方法将token存入redis中,代码如下:
@Bean
public TokenStore tokenStore() {
return new JwtTokenStore(accessTokenConverter()) {
@Override
public void storeAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) {
//添加Jwt Token白名单,将Jwt以jti为Key存入redis中,并保持与原Jwt有一致的时效性
if (token.getAdditionalInformation().containsKey("jti")) {
String jti = token.getAdditionalInformation().get("jti").toString();
redisTemplate.opsForValue().set(jti, token.getValue(), token.getExpiresIn(), TimeUnit.SECONDS);
}
super.storeAccessToken(token, authentication);
}
};
}
二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效
实现JwtClaimsSetVerifier,在verify方法中验证Redis中Jwt Token是否过期,代码如下:
public class RedisJwtClaimsSetVerifier implements JwtClaimsSetVerifier {
......
省略部分代码
......
/**
* 检查jti是否在Redis中存在(即是否过期),如过期则抛异常
*/
@Override
public void verify(Map<String, Object> claims) throws InvalidTokenException {
if (claims.containsKey("jti")) {
String jti = claims.get("jti").toString();
Object value = redisTemplate.opsForValue().get(jti);
if (value == null) {
throw new InvalidTokenException("无效的令牌");
}
}
}
三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效
客户端退出时,删除客户端存储的token,并调用服务器的接口删除服务器上存储的令牌,删除令牌最终调用的是tokenStore.removeAccessToken方法,所以只要实现该方法,就能达到删除令牌的效果,实现代码如下:
@Bean
public TokenStore tokenStore() {
return new JwtTokenStore(accessTokenConverter()) {
@Override
public void storeAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) {
//添加Jwt Token白名单,将Jwt以jti为Key存入redis中,并保持与原Jwt有一致的时效性
if (token.getAdditionalInformation().containsKey("jti")) {
String jti = token.getAdditionalInformation().get("jti").toString();
redisTemplate.opsForValue().set(jti, token.getValue(), token.getExpiresIn(), TimeUnit.SECONDS);
}
super.storeAccessToken(token, authentication);
}
@Override
public void removeAccessToken(OAuth2AccessToken token) {
if (token.getAdditionalInformation().containsKey("jti")) {
String jti = token.getAdditionalInformation().get("jti").toString();
redisTemplate.delete(jti);
}
super.removeAccessToken(token);
}
};
}