场景:
在普通的token颁发和校验中 当用户发现自己账号和密码被暴露了时修改了登录密码后旧的token仍然可以通过系统校验直至token到达失效时间,这肯定是不安全的,所以系统需要token主动失效的一种能力
解决方案:
我们可以使用redis来实现redis主动失效的的功能
需求实现逻辑:
在每次用户登录后颁发token的同时往redis数据库中存储一份颁发给用户的token
每次每次用户请求时除了解析token外还需要查询redis中是否有当前token有则校验通过,没有则校验失败
每次用户修改密码后删除redis中当前用所携带的token,从而使旧token无法通过token校验
代码实现
pom.xml中添加redis坐标
org.springframework.bootspring-boot-starter-data-redis
配置文件application.yml中配置redis相关信息
spring: data: redis: host: redis所在的ip,本机的redis服务填localhost port: redis服务端口,默认6379 password: redis中设置的密码,没有就不需要
颁发token时往redis中存储token
//UserController中添加私有属性stringRedisTemplate并实例化 @Autowired private StringRedisTemplate stringRedisTemplate; //登录接口中把token存到redis 过期时间3小时 stringRedisTemplate.opsForValue().set(token,token,3, TimeUnit.HOURS);
登录时校验是否redis中有当前token
package org.example.intercopters; import jakarta.servlet.http.HttpServletRequest; import jakarta.servlet.http.HttpServletResponse; import org.example.utils.JwtUtil; import org.example.utils.ThreadLocalUtil; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.data.redis.core.StringRedisTemplate; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterceptor; import java.util.Map; @Component //注册拦截器 将其放入ioc容器中 public class LoginInterceptor implements HandlerInterceptor { @Autowired private StringRedisTemplate redisTemplate; //创建登录身份校验拦截器 @Override //请求开始前触发的拦截方法 public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { //令牌验证 String token = request.getHeader("Authorization"); //去除token的前缀标记"Bearer " var newToken = token.contains("Bearer ")?token.substring("Bearer ".length()):token; try { **//从redis获取相同的token String redisToken = redisTemplate.opsForValue().get(newToken); if(redisToken == null){ //redis失效 throw new RuntimeException("token失效"); }** Map claims = JwtUtil.parseToken(token); //把用户信息存储到ThreadLocal中,tomcat会在每次接口请求时创建一个线程 而ThreadLocal中存储的数据是线程安全的 ThreadLocalUtil.set(claims); //放行 return true; } catch (Exception e) { //设置响应状态码 response.setStatus(401); //设置响应字符集和响应内容 response.setCharacterEncoding("UTF-8"); response.setContentType("text/html; charset=UTF-8"); String errorMessage = "未登录"; response.getWriter().write("{"error": "" + errorMessage + ""}"); //不放行 return false; } } @Override //请求完成后触发的拦截方法 public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { //清空ThreadLocal中的数据 ThreadLocalUtil.remove(); } }
修改密码后删除redis中的token
//修改密码接口中删除redis中对应的token ValueOperations operations = stringRedisTemplate.opsForValue(); operations.getOperations().delete(newToken);
在本地开发中如果使用本地redis每次开发前还得去启动本地redis,就很麻烦,如果你有一个云服务器就可以本地连云服务器redis就不用每次去启动redis了,下面是实现教程:
前提是读者已经安装好了Redis。
因为刚学Linux不久,敲过一些命令,算不上熟悉,对网络防火墙那一块也不熟悉。
因此虽然在项目中已经开启了Redis服务,也写好配置类:
#redis spring.redis.host=x.x.x.x spring.redis.port=6379 spring.redis.database= 0 spring.redis.timeout=1800000
```java @Configuration @EnableCaching // 开启缓存处理,使用redis,将字典的数据缓存到其中! public class RedisConfig { private RedisCacheManager build; /** * 自定义key规则 * * @return */ @Bean public KeyGenerator keyGenerator() { return new KeyGenerator() { @Override public Object generate(Object target, Method method, Object... params) { StringBuilder sb = new StringBuilder(); sb.append(target.getClass().getName()); sb.append(method.getName()); for (Object obj : params) { sb.append(obj.toString()); } return sb.toString(); } }; } /** * 设置RedisTemplate规则 * * @param redisConnectionFactory * @return */ @Bean public RedisTemplate
但还是启动不了。
在这里梳理一下:
- 你先要去云服务器(这里以腾讯云为例)到防火墙里面添加端口,我就以默认的6379为例。
- 然后去你的linux上面查看你的防护墙有没有打开和防火墙有没有添加对应的端口号。命令如下
#查看linux上面防火墙的状态 systemctl status firewalld.service #如果是running的,就需要关了 systemctl stop firewalld.service [root@VM-4-12-centos ~]# firewall-cmd --query-port=6379/tcp#查询 no [root@VM-4-12-centos ~]# firewall-cmd --add-port=6379/tcp#添加 success
- 最后你还需要去你的redis.conf文件查看你的保护有没有打开,默认的端口号有没有注释掉:
做以下的修改,你就可以通过你的项目连接到Redis。
# bind 127.0.0.1 ::1 protected-mode no port 6379
到此这篇关于Redis优化token校验主动失效的实现方案的文章就介绍到这了,更多相关Redis token校验主动失效内容请搜索IT俱乐部以前的文章或继续浏览下面的相关文章希望大家以后多多支持IT俱乐部!