8.3JWT提前撤回

8.3JWT提前撤回

当遇到用户被删除、用户在另一个设备上登陆等场景需要将JWT提前撤回，但是JWT是保存在客户端，无法在服务器中进行删除。

解决思路是在用户表中增加一列JWTVersion，用来存储最后一次发放出去的令牌版本号，每次登陆、发放令牌的时候都让JWTVersion自增，当服务器收到客户端提交的JWT后，将客户端的JWTVersion和服务器的进行比较，如果客户端的值小于服务器中的值则过期。

实现步骤：

1. 为实体类User增加一个long类型的属性JWTVersion
   
2. 修改产生JWT的代码，实现JWTVersion自增
   

user.JWTVersion++;

awaituserManager.UpdateAsync(user);//更新数据库

varclaims=newList<Claim>();

claims.Add(newClaim(ClaimTypes.NameIdentifier, user.Id.ToString()));

claims.Add(newClaim(ClaimTypes.Name, user.UserName));

claims.Add(newClaim(ClaimTypes.Version, user.JWTVersion.ToString()));//增加该信息

3. 编写筛选器，统一实现对所有控制器操作方法中JWT的检查工作
   

publicclassJWTValidationFilter : IAsyncActionFilter

{

   privateIMemoryCachememCache;

   privateUserManager<User>userMgr;

 

   publicJWTValidationFilter(IMemoryCachememCache, UserManager<User>userMgr)

   {

       this.memCache=memCache;

       this.userMgr=userMgr;

   }

 

   publicasyncTaskOnActionExecutionAsync(ActionExecutingContextcontext, ActionExecutionDelegatenext)

   {

       varclaimUserId=context.HttpContext.User.FindFirst(ClaimTypes.NameIdentifier);//查询用户信息

       //对于登录接口等没有登录的，直接跳过

       if (claimUserId==null)

       {

           awaitnext();

           return;

       }

       longuserId=long.Parse(claimUserId!.Value);

       //放到内存缓存中

       stringcacheKey=$"JWTValidationFilter.UserInfo.{userId}";

       Useruser=awaitmemCache.GetOrCreateAsync(cacheKey, asynce=> {

           e.AbsoluteExpirationRelativeToNow=TimeSpan.FromSeconds(5);

           returnawaituserMgr.FindByIdAsync(userId.ToString());

       });

       if (user==null)//为查找到用户，可能已经别删除

       {

           varresult=newObjectResult($"UserId({userId}) not found");

           result.StatusCode= (int)HttpStatusCode.Unauthorized;

           context.Result=result;

           return;

       }

       varclaimVersion=context.HttpContext.User.FindFirst(ClaimTypes.Version);

       //jwt中保存的版本号

       longjwtVerOfReq=long.Parse(claimVersion!.Value);

       //由于内存缓存等导致的并发问题，

       //假如集群的A服务器中缓存保存的还是版本为5的数据，但客户端提交过来的可能已经是版本号为6的数据。因此只要是客户端提交的版本号>=服务器上取出来（可能是从Db，也可能是从缓存）的版本号，那么也是可以的

       if (jwtVerOfReq>=user.JWTVersion)

       {

           awaitnext();

       }

       else

       {

           varresult=newObjectResult($"JWTVersion mismatch");

           result.StatusCode= (int)HttpStatusCode.Unauthorized;

           context.Result=result;

           return;

       }

   }

}

4. 注册
   

services.Configure<MvcOptions>(opt=>{

   opt.Filters.Add<JWTValidationFilter>();

})