8.3JWT提前撤回

简介: 当遇到用户被删除、用户在另一个设备上登陆等场景需要将JWT提前撤回,但是JWT是保存在客户端,无法在服务器中进行删除。解决思路是在用户表中增加一列JWTVersion,用来存储最后一次发放出去的令牌版本号,每次登陆、发放令牌的时候都让JWTVersion自增,当服务器收到客户端提交的JWT后,将客户端的JWTVersion和服务器的进行比较,如果客户端的值小于服务器中的值则过期

8.3JWT提前撤回

当遇到用户被删除、用户在另一个设备上登陆等场景需要将JWT提前撤回,但是JWT是保存在客户端,无法在服务器中进行删除。

解决思路是在用户表中增加一列JWTVersion,用来存储最后一次发放出去的令牌版本号,每次登陆、发放令牌的时候都让JWTVersion自增,当服务器收到客户端提交的JWT后,将客户端的JWTVersion和服务器的进行比较,如果客户端的值小于服务器中的值则过期。

实现步骤:

  1. 为实体类User增加一个long类型的属性JWTVersion
  2. 修改产生JWT的代码,实现JWTVersion自增

user.JWTVersion++;

awaituserManager.UpdateAsync(user);//更新数据库

varclaims=newList<Claim>();

claims.Add(newClaim(ClaimTypes.NameIdentifier, user.Id.ToString()));

claims.Add(newClaim(ClaimTypes.Name, user.UserName));

claims.Add(newClaim(ClaimTypes.Version, user.JWTVersion.ToString()));//增加该信息

  1. 编写筛选器,统一实现对所有控制器操作方法中JWT的检查工作

publicclassJWTValidationFilter : IAsyncActionFilter

{

   privateIMemoryCachememCache;

   privateUserManager<User>userMgr;

 

   publicJWTValidationFilter(IMemoryCachememCache, UserManager<User>userMgr)

   {

       this.memCache=memCache;

       this.userMgr=userMgr;

   }

 

   publicasyncTaskOnActionExecutionAsync(ActionExecutingContextcontext, ActionExecutionDelegatenext)

   {

       varclaimUserId=context.HttpContext.User.FindFirst(ClaimTypes.NameIdentifier);//查询用户信息

       //对于登录接口等没有登录的,直接跳过

       if (claimUserId==null)

       {

           awaitnext();

           return;

       }

       longuserId=long.Parse(claimUserId!.Value);

       //放到内存缓存中

       stringcacheKey=$"JWTValidationFilter.UserInfo.{userId}";

       Useruser=awaitmemCache.GetOrCreateAsync(cacheKey, asynce=> {

           e.AbsoluteExpirationRelativeToNow=TimeSpan.FromSeconds(5);

           returnawaituserMgr.FindByIdAsync(userId.ToString());

       });

       if (user==null)//为查找到用户,可能已经别删除

       {

           varresult=newObjectResult($"UserId({userId}) not found");

           result.StatusCode= (int)HttpStatusCode.Unauthorized;

           context.Result=result;

           return;

       }

       varclaimVersion=context.HttpContext.User.FindFirst(ClaimTypes.Version);

       //jwt中保存的版本号

       longjwtVerOfReq=long.Parse(claimVersion!.Value);

       //由于内存缓存等导致的并发问题,

       //假如集群的A服务器中缓存保存的还是版本为5的数据,但客户端提交过来的可能已经是版本号为6的数据。因此只要是客户端提交的版本号>=服务器上取出来(可能是从Db,也可能是从缓存)的版本号,那么也是可以的

       if (jwtVerOfReq>=user.JWTVersion)

       {

           awaitnext();

       }

       else

       {

           varresult=newObjectResult($"JWTVersion mismatch");

           result.StatusCode= (int)HttpStatusCode.Unauthorized;

           context.Result=result;

           return;

       }

   }

}

  1. 注册

services.Configure<MvcOptions>(opt=>{

   opt.Filters.Add<JWTValidationFilter>();

})


相关文章
|
4月前
|
存储 JSON 安全
在项目中到底应不应该用jwt?
JSON Web Tokens(JWT)是一种开放标准,用于在网络上传输安全信息。它常用于身份验证场景,用户登录后,服务器生成JWT并返回给客户端。客户端在后续请求中携带此令牌,服务器验证其有效性来确认用户身份。JWT具有无状态、可扩展和安全的特点,支持跨域认证,但也有令牌大小、续期复杂等缺点。是否使用JWT取决于项目需求,多数公司在采用,除非有特殊理由避免。以下是Go语言中使用JWT的一个示例。
85 0
JWT令牌,JWT令牌的后续使用,在其他端口中使用的注意事项?如果你编写了JWT令牌的话,在下一次请求当中,都需要添加的,如果你已经配置好了WebConfig和Inter 就不用配了,添加了拦截器之后
JWT令牌,JWT令牌的后续使用,在其他端口中使用的注意事项?如果你编写了JWT令牌的话,在下一次请求当中,都需要添加的,如果你已经配置好了WebConfig和Inter 就不用配了,添加了拦截器之后
|
7月前
|
存储 JSON 算法
登录认证-登录校验-会话技术方案选择和对比(cookie、session和JWT令牌)
登录认证-登录校验-会话技术方案选择和对比(cookie、session和JWT令牌)
150 0
|
存储 JSON 算法
JWT:你好了解一下 只要两分钟!
小马经常看到招聘要求中会写着一个词:JWT。没接触过的同学可能一愣,这是啥高级玩意?看起来很唬人的样子,不能查,一查就是个token生成方式。好,那就来了解一下吧。
108 1
JWT:你好了解一下 只要两分钟!
|
存储 安全 JavaScript
别再使用 JWT 作为 Session 系统!问题重重且很危险
首先需要说明 JWT 坊间流传的优势 易于水平扩展? 易于使用? 更加灵活? 更加安全? 内置过期时间功能? 无需询问用户「本网站使用 Cookies」? 防止 CSRF 攻击? 更适用于移动端? 适用于阻止 Cookies 的用户?
|
NoSQL Redis
使用黑名单完成,Jwt退出登录操作
使用黑名单完成,Jwt退出登录操作
891 0
|
存储 缓存 前端开发
关于JWT Token 自动续期的解决方案
关于JWT Token 自动续期的解决方案
1523 1
|
存储 JSON NoSQL
实战!退出登录时如何借助外力使JWT令牌失效?
实战!退出登录时如何借助外力使JWT令牌失效?
|
存储 JSON 安全
别再使用 JWT 作为 Session 系统!问题重重且很危险。
别再使用 JWT 作为 Session 系统!问题重重且很危险。
|
微服务
实战!openFeign如何实现全链路JWT令牌信息不丢失?
实战!openFeign如何实现全链路JWT令牌信息不丢失?