使用Redis实现JWT令牌主动失效机制
更新时间:2024年08月12日 10:47:05 作者:记得开心一点嘛
JWT是一种轻量级的身份验证和授权机制,它是一种 JSON 格式的数据串,通常用于客户端和服务端之间的单点登录(Single Sign-On, SSO)场景,本文给大家介绍了如何使用Redis来实现JWT令牌主动失效机制,需要的朋友可以参考下
一.实现思路:
- 登录成功后,给浏览器响应令牌的同时,把该令牌存储到Redis中
- LoginInterceptor拦截器中,需要验证浏览器携带的令牌,并同时需要获取到Redis中的存储的与之相同的令牌,如果获取到证明令牌有效,如果没有获取到则令牌无效
- 当用户修改密码成功后,删除Redis中存储的旧令牌
二.实现代码解析:
1.首先配置Redis的相关配置文件:
(1)pom.xml:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>(2)在application.yml中配置相关信息:
spring:
data:
redis:
host: localhost
port: 6379
password: ******* #Redis的密码
database: *** #指定使用哪个数据源(可不写,但默认是DB0)(3)编写配置类,创建RedisTemplate对象:
我们使用RedisTemplate这个类对象内封装的方法来操作Redis,所以我们在配置类内创建RedisTemplate并用Bean注解将其交给Spring容器管理。
@Configuration
@Slf4j
public class RedisConfiguration {
@Bean
public RedisTemplate redisTemplate(RedisConnectionFactory redisConnectionFactory){
log.info("开始创建Redis模板对象...0");
RedisTemplate redisTemplate = new RedisTemplate();
//设置redis的连接工厂对象
redisTemplate.setConnectionFactory(redisConnectionFactory);
//设置redis key的序列化器,这里反应的是Redis图形化工具上value值的不同
redisTemplate.setKeySerializer(new StringRedisSerializer());
return redisTemplate;
}
}2.登录成功后,给浏览器响应令牌的同时,把该令牌存储到Redis中:
@RestController
@RequestMapping("/user")
@Validated
public class UserController {
@Autowired
private UserService userService;
@Autowired
private RedisTemplate redisTemplate;
/**
* 用户登录
* @param username
* @param password
* @return
*/
@PostMapping("/login")
public Result<String> login(@Pattern(regexp = "^\\S{5,16}$") String username ,@Pattern(regexp = "^\\S{5,16}$") String password){
//根据username查询用户
User loginUser = userService.findByUserName(username);
//判断是否存在
if(loginUser == null){
return Result.error("用户名错误");
}
//判断密码是否正确
if(Md5Util.getMD5String(password).equals(loginUser.getPassword())){
//登录成功,创建JWT令牌
Map<String,Object> claims = new HashMap<>();
claims.put("id",loginUser.getId());
claims.put("username",loginUser.getUsername());
String token = JwtUtil.genToken(claims);
//将token存储到redis中
redisTemplate.opsForValue().set(token,token,1, TimeUnit.HOURS);//key,value,时间值,时间单位
return Result.success(token);
}
return Result.error("密码错误");
}
}3.LoginInterceptor拦截器中,需要验证浏览器携带的令牌,并同时需要获取到Redis中的存储的与之相同的令牌:
package com.itheima.bigdealboot.interceptors;
import com.itheima.bigdealboot.utils.JwtUtil;
import com.itheima.bigdealboot.utils.ThreadLocalUtil;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import java.util.Map;
//拦截器
@Component
public class LoginInterceptor implements HandlerInterceptor {
@Autowired
private RedisTemplate redisTemplate;
@Override
public boolean preHandle(HttpServletRequest request , HttpServletResponse response , Object handle) throws Exception{
String token = request.getHeader("Authorization"); //Authorization为请求头的名字
try {
//从Redis中国获取相同的token
String redisToken = (String) redisTemplate.opsForValue().get(token);
if(redisToken == null){
//token已经失效,抛出异常
throw new RuntimeException();
}
//令牌验证
Map<String,Object> claims = JwtUtil.parseToken(token);
//线程开辟空间存储
ThreadLocalUtil.set(claims);
//放行
return true;
}catch (Exception e){
//http响应状态码为401在·
response.setStatus(401);
//不放行
return false;
}
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
//清空线程数据
ThreadLocalUtil.remove();
}
}4.当用户修改密码成功后,删除Redis中存储的旧令牌:
@RestController
@RequestMapping("/user")
@Validated
public class UserController {
@Autowired
private UserService userService;
@Autowired
private RedisTemplate redisTemplate;
@PatchMapping("/updatePwd")
public Result updatePwd(@RequestBody Map<String,String> params,@RequestHeader("Authorization") String token){
//校验参数
String oldPwd = params.get("old_pwd");
String newPwd = params.get("new_pwd");
String rePwd = params.get("re_pwd");
if(StringUtils.hasLength(oldPwd) || StringUtils.hasLength(newPwd) || StringUtils.hasLength(rePwd)){
return Result.error("缺少必要参数");
}
//校验
Map<String,Object> map = ThreadLocalUtil.get();
String username = (String) map.get("username");
User loginUser = userService.findByUserName(username);
if(!loginUser.getPassword().equals(Md5Util.getMD5String(oldPwd))){
return Result.error("原密码填写不正确");
}
if(!rePwd.equals(newPwd)){
return Result.error("两次填写的新密码不一样");
}
//更新密码
userService.updatePwd(newPwd);
//删除redis中对应的token
redisTemplate.opsForValue().getOperations().delete(token);
return Result.success();
}
}到此这篇关于使用Redis实现JWT令牌主动失效机制的文章就介绍到这了,更多相关Redis JWT主动失效机制内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
某金融平台因缓存数据不一致导致用户余额错乱,损失千万!文中将用银行对账比喻+实战代码,揭秘6大解决方案,让你的数据毫秒级同步,所以本文给大家详细介绍了Redis缓存与数据库一致性的完整指南,需要的朋友可以参考下2025-09-09
Redis报错UnrecognizedPropertyException: Unrecognized
在使用SpringBoot访问Redis时,报错提示识别不了属性headPart,经过排查,发现并非Serializable或getset方法问题,而是存在一个方法getHeadPart,但无headPart属性,解决方案是将getHeadPart改为makeHeadPart2024-10-10
确保Redis中存储的Token安全性是一个多层面的任务,涉及到网络、应用、数据和操作等多个方面的安全措施,本文给大家介绍了一些详细的实践建议和示例,并有详细的代码供大家参考,需要的朋友可以参考下2024-03-03
这篇文章主要为大家介绍了Redis过期数据会被立马删除么的问题解析,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-07-07
这篇文章主要给大家介绍了关于Redis偶发连接失败的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使Redis具有一定的参考学习价值,用需要的朋友们下面随着小编来一起学习学习吧2018-10-10
本文主要介绍了基于Redis实现共享Session登录的实现,包括发送短信验证码、短信验证码登录和注册、以及登录状态校验的流程,具有一定的参考价值,感兴趣的可以了解一下2025-03-03
RedisJSON 是 Redis 的一个模块,为 Redis 提供了 JSON 数据类型的支持,允许直接存储、更新和查询 JSON 文档,本文给大家详细介绍了RedisJSON 安装部署及使用示例,需要的朋友可以参考下2025-07-07
这篇文章主要介绍了Redis中的数据一致性问题以及解决方案,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2025-05-05
基于Redis6.2.6版本部署Redis Cluster集群的问题
这篇文章主要介绍了基于Redis6.2.6版本部署Redis Cluster集群,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2022-04-04
这篇文章主要介绍了redis中hiredis-API函数的调用,本文通过示例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧2023-09-09
最新评论