SpringCloud Alibaba微服务实战三十五 - 退出登录注销 jwt token

简介: SpringCloud Alibaba微服务实战三十五 - 退出登录注销 jwt token

大家好,我是飘渺。

前几天有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。

我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。

他说:别闹,你的每篇文章我都给你一键三连。

我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud alibaba项目。

在正式开始之前,我们先来回顾一下oauth2中token的相关知识。


知识回顾


众所周知,在 OAuth2 体系中认证通过后返回的令牌信息分为两大类:不透明令牌(opaque tokens)透明令牌(not opaque tokens)。

不透明令牌 是一种无可读性的令牌,一般来说就是一段普通的 UUID 字符串。使用不透明令牌时资源服务不知道这个令牌是什么,代表谁,需要调用认证服务器校验、获取用户信息。使用不透明令牌采用的是 中心化 的架构。

透明令牌 一般指的是我们常说的JWT Token,用户信息保存在 JWT 字符串中,资源服务器自己可以解析令牌不再需要去认证服务器校验令牌。使用JWT是属于 无状态、去中心化 的架构。

一旦我们选择了使用JWT,就需要明确一点:在不借助外力的情况下,让JWT失效的唯一途径就是等token自己过期,无法做到主动让JWT失效。非要让JWT有主动失效的功能只能借助外力,即在服务端存储JWT的状态,在请求时添加判断逻辑,这个与JWT的无状态化、去中心化特性是矛盾的。但是,既然选择了JWT这条路,那就只能接受这个现实。

tips:我们目前项目使用的是JWT Token这种去中心化的架构,并且独立出了一个统一的资源服务器配置模块,详情可见:SpringCloud Alibaba微服务实战三十 | 统一资源服务器配置模块


解决思路


上面说了,要实现JWT的主动失效需要借助外力,在服务端存储JWT的状态,一般使用Redis等高速缓存。而存储JWT状态又分为两种方案:

  1. 白名单机制
    认证通过时,把JWT存到Redis中。注销时,从缓存移除JWT。请求资源添加判断JWT在缓存中是否存在,不存在拒绝访问。这种方式和cookie/session机制中的会话失效删除session基本一致。
  2. 黑名单机制
    注销登录时,缓存JWT至Redis,且缓存有效时间设置为JWT的有效期,请求资源时判断是否存在缓存的黑名单中,存在则拒绝访问。

白名单和黑名单的实现逻辑差不多,黑名单不需每次登录都将JWT缓存,仅仅在某些特殊场景下需要缓存JWT,给服务器带来的压力要远远小于白名单的方式。

我更倾向于使用黑名单机制,有两个原因:

一是会大大节省Redis的存储空间,我们甚至都不需要存储完整的jwt,只需要存储jwt中的唯一id jti即可。

二是我们有独立的资源服务器配置模块,使用白名单的话那就要求所有依赖的业务模块必须加入Redis依赖、添加Redis的配置,不太友好。采用黑名单的话我们只需要在网关层做校验,也就是只要网关和认证服务器添加redis依赖即可。

OK,既然确定了使用黑名单机制,那我们最后再来梳理一下完整的实现流程:

  1. 认证服务器需要添加一个退出登录接口,在退出登录时将jwt 的唯一id jti添加进redis,并设置有效时间为token的剩余时间。
  2. 所有请求需要经过网关,网关层通过Filter添加校验逻辑,解析并判断用户携带的token jti是否在redis中。若存在,说明该token已失效,拒绝访问;否则放行。

梳理好了实现流程,我们开始代码改造。


代码改造


注意,为了不影响阅读,文中展示的代码仅为与此文主题相关的代码,其他无关代码以...代替。

认证服务器改造

  1. 由于需要用到redis存储黑名单,所以需要引入redis依赖
<dependency>
  <groupId>org.springframework.data</groupId>
  <artifactId>spring-data-redis</artifactId>
</dependency>


  1. 修改nacos配置中心auth-service.yml,配置redis相关属性
spring:
  redis:
    host: localhost
    password: xxxxxx
    port: 6379
    timeout: 3000


  1. 编写退出接口,将token插入黑名单
@RestController
@RequestMapping("/token")
@Slf4j
@RequiredArgsConstructor(onConstructor = @__(@Autowired))
public class AuthController {
    private final TokenStore tokenStore;
    private final RedisTemplate<String,String> redisTemplate;
    /**
     * 用户退出登录
     * @param authHeader 从请求头获取token
     */
    @DeleteMapping("/logout")
    public ResultData<String> logout(@RequestHeader(value = HttpHeaders.AUTHORIZATION) String authHeader){
        //获取token,去除前缀
        String token = authHeader.replace(OAuth2AccessToken.BEARER_TYPE,"").trim();
        // 解析Token
        OAuth2AccessToken oAuth2AccessToken = tokenStore.readAccessToken(token);
        //token 已过期
        if(oAuth2AccessToken.isExpired()){
           return ResultData.fail(ReturnCode.INVALID_TOKEN_OR_EXPIRED.getCode(),ReturnCode.INVALID_TOKEN_OR_EXPIRED.getMessage());
        }
        if(StringUtils.isBlank(oAuth2AccessToken.getValue())){
            //访问令牌不合法
            return ResultData.fail(ReturnCode.INVALID_TOKEN.getCode(),ReturnCode.INVALID_TOKEN.getMessage());
        }
        OAuth2Authentication oAuth2Authentication = tokenStore.readAuthentication(oAuth2AccessToken);
        String userName = oAuth2Authentication.getName();
        //获取token唯一标识
        String jti = (String) oAuth2AccessToken.getAdditionalInformation().get("jti");
        //获取过期时间
        Date expiration = oAuth2AccessToken.getExpiration();
        long exp = expiration.getTime() / 1000;
        long currentTimeSeconds = System.currentTimeMillis() / 1000;
        //设置token过期时间
        redisTemplate.opsForValue().set(CloudConstant.TOKEN_BLACKLIST_PREFIX + jti, userName, (exp - currentTimeSeconds), TimeUnit.SECONDS);
        return ResultData.success("退出成功");
    }
}

在认证服务器可以通过OAuth2AccessToken直接解析token,对token的有效性做一些基本校验,计算token的剩余有效时间并通过redisTemplate加入redis。

插入黑名单的时候并没有把完整的jwt token直接插入,而是使用了jwt的唯一标识jti,用于节省redis存储空间。

  1. 修改认证服务器配置文件WebSecurityConfig,给退出接口放行
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
//@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
 ...
    /**
     * http安全配置
     * @param http http安全对象
     * @throws Exception http安全异常信息
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 加入验证码登陆
        http.apply(smsCodeSecurityConfig);
        http
                .authorizeRequests().requestMatchers(EndpointRequest.toAnyEndpoint()).permitAll()
                .and()
                .authorizeRequests().antMatchers("/token/**","/sms/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .csrf().disable();
    }
 ...
}

至此认证服务器改造完毕,接下来对网关进行改造。

网关改造

网关层不再引入oauth2相关的依赖,所以就不能使用认证服务器的方法来解析token了,这里我使用的是nimbus-jose-jwt这个工具类。

  1. 引入nimbus-jose-jwt依赖
<dependency>
  <groupId>com.nimbusds</groupId>
  <artifactId>nimbus-jose-jwt</artifactId>
  <version>9.13</version>
</dependency>


  1. 引入Redis 依赖并且配置Redis相关属性

   这个已经在认证服务器改造的时候配置过,就不重复了。

  1. 修改网关过滤器GatewayRequestFilter,判断token是否存在于黑名单
@Component
@Order(0)
@Slf4j
@RequiredArgsConstructor(onConstructor = @__(@Autowired))
public class GatewayRequestFilter implements GlobalFilter {
    private final RedisTemplate<String,String> redisTemplate;
    @SneakyThrows
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
   ...
        //获取请求头的token
        String headerToken = exchange.getRequest().getHeaders().getFirst(CloudConstant.JWT_HEADER_KEY);
        if (StrUtil.isNotEmpty(headerToken)) {
            // 是否在黑名单
            if(isBlack(headerToken)){
                throw new HttpServerErrorException(HttpStatus.FORBIDDEN,"该令牌已过期,请重新获取令牌");
            }
        }
      ...
        return chain.filter(newExchange);
    }
    /**
     * 通过redis判断token是否为黑名单
     * @param headerToken 请求头
     * @return boolean
     */
    private boolean isBlack(String headerToken) throws ParseException {
        //todo  移除所有oauth2相关代码,暂时使用 OAuth2AccessToken.BEARER_TYPE 代替
        String token  = headerToken.replace(OAuth2AccessToken.BEARER_TYPE, StrUtil.EMPTY).trim();
        //解析token
        JWSObject jwsObject = JWSObject.parse(token);
        String payload = jwsObject.getPayload().toString();
        JSONObject jsonObject = JSONUtil.parseObj(payload);
        // JWT唯一标识
        String jti = jsonObject.getStr("jti");
        return redisTemplate.hasKey(CloudConstant.TOKEN_BLACKLIST_PREFIX + jti);
    }
 ...
}

至此网关层也改造完毕,接下来我们测试一下完整流程。

测试

  1. 执行退出登录

退出登录后在Redis中可以看到黑名单,key为jti,value为登录用户。

  1. 使用过期的token访问其他接口会被网关拦截


小结


一般来说,既然选择了jwt那就要接受jwt这个不允许主动失效的约定,如果考虑到安全性,可以通过缩短jwt有效时间,采用https等手段进行防护。虽然我们通过代码改造让其实现了主动失效的功能,但最终还是失去了jwt 无状态化、去中心化的特性。当然了,所有的方案都不可能十全十美,主要是看哪种更符合你们的业务场景。

如果,你有更好的实现方式,欢迎留言告知,不胜感激!

最后,我是飘渺Jam,一名写代码的架构师,做架构的程序员,期待您的转发与关注,咱们下期见!

目录
相关文章
|
9月前
|
算法 Java 微服务
【SpringCloud(1)】初识微服务架构:创建一个简单的微服务;java与Spring与微服务;初入RestTemplate
微服务架构是What?? 微服务架构是一种架构模式,它提出将单一应用程序划分为一组小的服务,服务之间互相协调、互相配合,为用户提供最终价值。 每个服务允许在其独立的进程中,服务于服务间采用轻量级的通信机制互相协作(通常是Http协议的RESTful API或RPC协议)。 每个服务都围绕着具体业务进行构建,并且能够被独立的部署到生产环境、类生产环境等。另外应当尽量避免统一的、集中式的服务管理机制,对具体的一个服务而言,应根据上下文,选择合适的语言、工具对其进行构建
716 126
|
9月前
|
负载均衡 算法 Java
【SpringCloud(2)】微服务注册中心:Eureka、Zookeeper;CAP分析;服务注册与服务发现;单机/集群部署Eureka;连接注册中心
1. 什么是服务治理? SpringCloud封装了Netfix开发的Eureka模块来实现服务治理 在传统pc的远程调用框架中,管理每个服务与服务之间依赖关系比较复杂,管理比较复杂,所以需要使用服务治理,管理服务于服务之间依赖关系,可以实现服务调用、负载均衡、容错等,实现服务发现与注册
481 0
|
9月前
|
负载均衡 Java API
《深入理解Spring》Spring Cloud 构建分布式系统的微服务全家桶
Spring Cloud为微服务架构提供一站式解决方案,涵盖服务注册、配置管理、负载均衡、熔断限流等核心功能,助力开发者构建高可用、易扩展的分布式系统,并持续向云原生演进。
|
10月前
|
监控 安全 Java
Spring Cloud 微服务治理技术详解与实践指南
本文档全面介绍 Spring Cloud 微服务治理框架的核心组件、架构设计和实践应用。作为 Spring 生态系统中构建分布式系统的标准工具箱,Spring Cloud 提供了一套完整的微服务解决方案,涵盖服务发现、配置管理、负载均衡、熔断器等关键功能。本文将深入探讨其核心组件的工作原理、集成方式以及在实际项目中的最佳实践,帮助开发者构建高可用、可扩展的分布式系统。
589 1
|
JSON 安全 Java
什么是JWT?如何使用Spring Boot Security实现它?
什么是JWT?如何使用Spring Boot Security实现它?
2590 5
|
SQL Java 测试技术
在Spring boot中 使用JWT和过滤器实现登录认证
在Spring boot中 使用JWT和过滤器实现登录认证
1229 0
|
JSON 安全 Java
使用Spring Boot和JWT实现用户认证
使用Spring Boot和JWT实现用户认证
|
XML JavaScript Java
SpringBoot集成Shiro权限+Jwt认证
本文主要描述如何快速基于SpringBoot 2.5.X版本集成Shiro+JWT框架,让大家快速实现无状态登陆和接口权限认证主体框架,具体业务细节未实现,大家按照实际项目补充。
1057 11