SpringBoot与Redis的令牌主动失效机制实现

更新时间：2024年12月10日 10:49:40 作者：cooldream2009

本文详细介绍了基于SpringBoot和Redis实现令牌主动失效机制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

前言

在现代Web系统中，用户认证是一个核心问题，尤其是在分布式系统和微服务架构中，如何高效、安全地管理用户登录状态显得尤为重要。通常，系统通过令牌（Token）来进行身份验证，令牌的生命周期控制对于安全性非常关键。当用户修改密码等敏感操作后，确保其之前的令牌失效，是一种常用的安全策略，可以有效防止凭证被盗后恶意访问的风险。本文将详细介绍基于Spring Boot和Redis实现令牌主动失效机制的设计与实现思路，帮助读者理解和应用该方案来提高系统的安全性和稳定性。

1. 项目结构和依赖配置

首先，我们需要基于Spring Boot搭建一个简单的Web项目，同时集成Redis作为缓存数据库，用于存储和管理用户令牌的状态信息。通过引入Redis，能够有效控制令牌的失效机制，从而实现对用户认证的动态管理。

在这里插入图片描述

1.1 项目依赖配置

在项目的pom.xml中添加如下依赖，用于集成Redis：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

1.2 Redis连接配置

在application.yml中配置Redis的连接信息：

spring:
  redis:
    host: localhost
    port: 6379
    timeout: 6000ms
    lettuce:
      pool:
        max-active: 8
        max-idle: 2
        min-idle: 1
        max-wait: -1ms

该配置将连接本地的Redis实例，并定义了连接池的基本参数。具体参数根据项目需求可以进一步调整。

2. 令牌主动失效机制的实现流程

在这里插入图片描述

在实现令牌主动失效机制时，我们需要进行三步操作：

用户登录成功后，系统会生成一个Token并将其存储在Redis中。
在后续的每次请求中，通过拦截器从Redis中验证令牌的有效性。
当用户修改密码等操作成功后，系统主动删除Redis中的Token，使之前的令牌失效。

下面将逐步实现上述功能。

2.1 登录成功后将令牌存储到Redis中

首先，在用户登录成功的情况下，系统会生成一个Token。为了方便讲解，这里采用一个简单的UUID作为Token示例。生成的Token不仅返回给前端，也会同步存储到Redis中，并设置一定的有效时间（如1小时）。

示例代码如下：

@Autowired
private StringRedisTemplate stringRedisTemplate;

public String login(String username, String password) {
    // 生成Token
    String token = UUID.randomUUID().toString();
    // 将Token存储到Redis中，有效期1小时
    ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();
    operations.set(token, token, 1, TimeUnit.HOURS);
    // 返回给用户的响应中包含Token
    return token;
}

上述代码通过StringRedisTemplate的opsForValue方法，将Token以键值对的形式存储到Redis中。Redis缓存会定时清除过期数据，因此可以避免手动管理令牌的过期处理。

2.2 使用拦截器验证令牌

每次用户请求时，我们需要验证用户携带的Token是否有效。通过Spring的拦截器机制，可以在请求进入控制器之前检查Redis中的Token，判断其是否有效。若Token无效或已过期，则拒绝访问。

拦截器代码如下：

public class LoginInterceptor implements HandlerInterceptor {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 从请求头中获取Token
        String token = request.getHeader("Authorization");
        if (token == null || token.isEmpty()) {
            throw new RuntimeException("缺少令牌");
        }

        // 从Redis中查询Token
        ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();
        String redisToken = operations.get(token);

        if (redisToken == null) {
            // Token不存在或已过期，抛出异常
            throw new RuntimeException("无效的令牌");
        }
        // Token有效，继续处理请求
        return true;
    }
}

在LoginInterceptor中，我们通过StringRedisTemplate的opsForValue方法获取Redis中的Token并与请求携带的Token对比。如果Token不存在，则直接拒绝该请求。若Token存在且有效，继续进行请求处理。

2.3 用户修改密码后删除旧令牌

当用户成功修改密码时，需要确保之前的Token立即失效。因此，成功修改密码后，我们需要从Redis中删除该用户的Token记录，防止旧Token被再次使用。

在修改密码的业务逻辑中，加入删除Token的代码：

public void changePassword(String username, String newPassword) {
    // 假设用户验证通过并修改了密码
    // 删除Redis中的旧Token
    String token = getCurrentTokenForUser(username); // 从上下文或数据库中获取当前用户的Token
    ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();
    operations.getOperations().delete(token);
}

在上述代码中，通过getOperations().delete()方法删除Token，使得旧Token立即失效。这样用户在修改密码后需要重新登录，保证了账户的安全性。

3. Redis的配置与测试

为了确保上述逻辑的正确性和Redis的稳定性，建议在开发阶段通过单元测试验证Redis的连接和数据操作。

@SpringBootTest
class RedisTest {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Test
    public void testSet() {
        ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();
        operations.set("username", "zhangsan");
        operations.set("id", "1", 15, TimeUnit.SECONDS);

        // 检查存储的值
        String username = operations.get("username");
        System.out.println("用户名：" + username);
    }
}

以上代码将username和id存储到Redis中，并设置了15秒的有效期。通过单元测试，可以直观地验证Redis的写入和有效期的功能是否正常工作。

4. 可能的扩展与优化

在实际应用中，可以进一步对该令牌失效机制进行扩展和优化：

基于用户ID管理Token：可以在Redis中以userId为键，存储用户当前的Token，这样方便管理用户的多个Token（如多设备登录）。
使用JWT（JSON Web Token）：在Token中加入用户的相关信息（如用户ID、权限等），以减少对Redis的依赖。不过仍需在修改密码等场景下失效Token。
动态调整Token有效期：可以根据用户的活跃度或敏感操作动态调整Token的过期时间，进一步提高系统的灵活性。

结语

本文详细介绍了基于Spring Boot和Redis实现令牌主动失效机制的完整流程，并提供了关键代码示例。通过将Token存储在Redis中并在必要时主动删除，确保了用户在修改密码等操作后的Token立即失效，从而有效增强了系统的安全性。这种方案在实际开发中具有良好的应用价值。通过适当扩展和优化，还可以满足更复杂的业务需求，为用户提供更优质的服务体验。

到此这篇关于SpringBoot与Redis的令牌主动失效机制实现的文章就介绍到这了,更多相关SpringBoot Redis令牌主动失效内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

idea启动命令过长的问题及解决
当IDEA启动命令过长时,可以通过修改workspace.xml文件或调整启动类配置来解决,方案一是在.idea文件或项目目录中修改workspace.xml；方案二是通过运行配置（run->edit）来保存启动设置,这两种方法都可以有效缩短命令长度,解决启动错误
2024-09-09
SpringBoot中EasyExcel实现Excel文件的导入导出
这篇文章主要介绍了SpringBoot中EasyExcel实现Excel文件的导入导出，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2020-10-10
idea 创建properties配置文件的步骤
这篇文章主要介绍了idea 创建properties配置文件的步骤，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2021-01-01
SpringBoot依赖管理特性详解
Spring Boot自动引入依赖的版本信息可以在`spring-boot-starter-parent`和`spring-boot-dependencies`的pom文件中找到,如果需要修改依赖版本,可以在项目pom文件中添加覆盖配置项并刷新依赖即可
2025-01-01
java web实现分页查询实例方法
在本篇文章里我们给大家分享了java web实现分页查询的详细方法知识点，有需要的朋友们参考学习下。
2018-10-10
SpringBoot中使用Quartz管理定时任务的方法
这篇文章主要介绍了SpringBoot中使用Quartz管理定时任务的方法，本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
2020-09-09
Springbean的几种注入方式都了解吗
这篇文章主要介绍了Springbean的几种注入方式都了解吗，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2020-01-01
spring注入在有常量的情况下使用@AllArgsConstructor操作
这篇文章主要介绍了spring注入在有常量的情况下使用@AllArgsConstructor操作，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-09-09
hashtable桶数通常会取一个素数分析
这篇文章主要介绍了hashtable桶数通常会取一个素数分析的相关资料,需要的朋友可以参考下
2016-12-12
关于Java中的try-with-resources语句
这篇文章主要介绍了关于Java中的try-with-resources语句,try-with-resources是Java中的环绕语句之一，旨在减轻开发人员释放try块中使用的资源的义务,需要的朋友可以参考下
2023-05-05