实战!退出登录时如何借助外力使JWT令牌失效?
大家好,我是不才陈某~
这是《Spring Cloud 进阶》第17篇文章,往期文章如下:
五十五张图告诉你微服务的灵魂摆渡者Nacos究竟有多强? openFeign夺命连环9问,这谁受得了? 阿里面试这样问:Nacos、Apollo、Config配置中心如何选型?这10个维度告诉你! 阿里面试败北:5种微服务注册中心如何选型?这几个维度告诉你! 阿里限流神器Sentinel夺命连环 17 问? 对比7种分布式事务方案,还是偏爱阿里开源的Seata,真香!(原理+实战) Spring Cloud Gateway夺命连环10问? Spring Cloud Gateway 整合阿里 Sentinel网关限流实战! 分布式链路追踪之Spring Cloud Sleuth夺命连环9问? 链路追踪自从用了SkyWalking,睡的真香! 3本书了,7万+字,10篇文章,《Spring Cloud 进阶》基础版 PDF 妹子始终没搞懂OAuth2.0,今天整合Spring Cloud Security 一次说明白! OAuth2.0实战!使用JWT令牌认证! OAuth2.0实战!玩转认证、资源服务异常自定义这些骚操作! 实战干货!Spring Cloud Gateway 整合 OAuth2.0 实现分布式统一认证授权! 字节面试这样问:跨库多表存在大量数据依赖问题有哪些解决方案?
今天这篇文章介绍一下如何在修改密码、修改权限、注销等场景下使JWT失效。
文章的目录如下:
解决方案
JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。
但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。
但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JWT行了吧。额,社会本就复杂别再欺骗自己了好么,被你在客户端删掉的JWT还是可以通过服务器端认证的。
使用JWT要非常明确的一点:JWT失效的唯一途径就是等待时间过期。
但是可以借助外力保存JWT的状态,这时就有人问了:你这不是打脸吗?用JWT就因为它的无状态性,这时候又要保存它的状态?
其实不然,这不被逼上梁山了吗?不使用外力保存JWT的状态,你说如何实现注销失效?
常用的方案有两种,白名单和黑名单方式。
1、白名单
白名单的逻辑很简单:认证通过时,将JWT存入redis中,注销时,将JWT从redis中移出。这种方式和cookie/session的方式大同小异。
2、黑名单
黑名单的逻辑也非常简单:注销时,将JWT放入redis中,并且设置过期时间为JWT的过期时间;请求资源时判断该JWT是否在redis中,如果存在则拒绝访问。
白名单和黑名单这两种方案都比较好实现,但是黑名单带给服务器的压力远远小于白名单,毕竟注销不是经常性操作。
黑名单方式实现
下面以黑名单的方式介绍一下如何在网关层面实现JWT的注销失效。
究竟向Redis中存储什么?
如果直接存储JWT令牌可行吗?当然可行,不过JWT令牌可是很长的哦,这样对内存的要求也是挺高的。
熟悉JWT令牌的都知道,JWT令牌中有一个jti字段,这个字段可以说是JWT令牌的唯一ID了,如下:
因此可以将这个jti字段存入redis中,作为唯一令牌标识,这样一来是不是节省了很多的内存?
如何实现呢? 分为两步:
网关层的全局过滤器中需要判断黑名单是否存在当前JWT 注销接口中将JWT的jti字段作为key存放到redis中,且设置了JWT的过期时间
1、网关层解析JWT的jti、过期时间放入请求头中
在网关的全局过滤器GlobalAuthenticationFilter中直接从令牌中解析出jti和过期时间。
这里的逻辑分为如下步骤:
解析JWT令牌的jti和过期时间 根据jti从redis中查询是否存在黑名单中,如果存在则直接拦截,否则放行 将解析的jti和过期时间封装到JSON中,传递给下游微服务
关键代码如下:
2、下游微服务的过滤器修改
还记得上篇文章:实战干货!Spring Cloud Gateway 整合 OAuth2.0 实现分布式统一认证授权!中微服务的过滤器AuthenticationFilter吗?
AuthenticationFilter这个过滤器用来解密网关层传递的JSON数据,并将其封装到Request中,这样在业务方法中便可以随时获取到想要的用户信息。
这里我是把JWT相关的信息同时封装到了Request中,实体类为JwtInformation,如下:
LoginVal继承了JwtInformation,如下:
此时AuthenticationFilter这个过滤器修改起来就很简单了,只需要将jti和过期时间封装到LoginVal中即可,关键代码如下:
逻辑很简单,上图都有标注。
3、注销接口实现
之前文章中并没有提供注销接口,因为无状态的JWT根本不需要退出登录,傻等着过期呗。
当然为了实现注销登录,借助了Redis,那么注销接口必不可少了。
逻辑很简单,直接将退出登录的JWT令牌的jti设置到Redis中,过期时间设置为JWT过期时间即可。代码如下:
OK了,至此已经实现了JWT注销登录的功能.......
“源码已经上传GitHub,关注公众号:码猿技术专栏,回复关键词:9529 获取!
”
涉及到的三个模块的改动,分别如下:
| 名称 | 功能 |
|---|---|
| oauth2-cloud-auth-server | OAuth2.0认证授权服 |
| oauth2-cloud-gateway | 网关服务 |
| oauth2-cloud-auth-common | 公共模块 |
总结
思想很简单,JWT既然是无状态的,只能借助Redis记录它的状态,这样才能达到使其失效的目的。
测试
业务基本完成了,下面走一个流程测试一下,如下:
1、登录,申请令牌
2、拿着令牌访问接口
该令牌并没有注销,因此可以正常访问,如下:
3、调用接口注销登录
请求如下:
4、拿着注销的令牌访问接口
由于令牌已经注销了,因此肯定访问不通接口,返回如下:
“源码已经上传GitHub,关注公众号:码猿技术专栏,回复关键词:9529 获取!
”
最后说一句(别白嫖,求关注)
陈某每一篇文章都是精心输出,已经写了3个专栏,整理成PDF,获取方式如下:
《Spring Cloud 进阶》PDF:关注公众号:【码猿技术专栏】回复关键词 Spring Cloud 进阶 获取! 《Spring Boot 进阶》PDF:关注公众号:【码猿技术专栏】回复关键词 Spring Boot进阶 获取! 《Mybatis 进阶》PDF:关注公众号:【码猿技术专栏】回复关键词 Mybatis 进阶 获取!
如果这篇文章对你有所帮助,或者有所启发的话,帮忙点赞、在看、转发、收藏,你的支持就是我坚持下去的最大动力!
关注公众号:【码猿技术专栏】,公众号内有超赞的粉丝福利,回复:加群,可以加入技术讨论群,和大家一起讨论技术,吹牛逼!
求点赞、在看、分享三连