Redis优化token校验主动失效的实现方案
更新时间:2024年03月25日 09:13:37 作者:前端小菜渣渣徐
在普通的token颁发和校验中 当用户发现自己账号和密码被暴露了时修改了登录密码后旧的token仍然可以通过系统校验直至token到达失效时间,所以系统需要token主动失效的一种能力,所以本文给大家介绍了Redis优化token校验主动失效的实现方案,需要的朋友可以参考下
(福利推荐:【腾讯云】服务器最新限时优惠活动,云服务器1核2G仅99元/年、2核4G仅768元/3年,立即抢购>>>:9i0i.cn/qcloud)
(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun)
场景:
在普通的token颁发和校验中 当用户发现自己账号和密码被暴露了时修改了登录密码后旧的token仍然可以通过系统校验直至token到达失效时间,这肯定是不安全的,所以系统需要token主动失效的一种能力
解决方案:
我们可以使用redis来实现redis主动失效的的功能
需求实现逻辑:
在每次用户登录后颁发token的同时往redis数据库中存储一份颁发给用户的token
每次每次用户请求时除了解析token外还需要查询redis中是否有当前token有则校验通过,没有则校验失败
每次用户修改密码后删除redis中当前用所携带的token,从而使旧token无法通过token校验
代码实现
pom.xml中添加redis坐标
<!--redis坐标-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
配置文件application.yml中配置redis相关信息
spring:
data:
redis:
host: redis所在的ip,本机的redis服务填localhost
port: redis服务端口,默认6379
password: redis中设置的密码,没有就不需要颁发token时往redis中存储token
//UserController中添加私有属性stringRedisTemplate并实例化 @Autowired private StringRedisTemplate stringRedisTemplate; //登录接口中把token存到redis 过期时间3小时 stringRedisTemplate.opsForValue().set(token,token,3, TimeUnit.HOURS);
登录时校验是否redis中有当前token
package org.example.intercopters;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.example.utils.JwtUtil;
import org.example.utils.ThreadLocalUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import java.util.Map;
@Component //注册拦截器 将其放入ioc容器中
public class LoginInterceptor implements HandlerInterceptor {
@Autowired
private StringRedisTemplate redisTemplate;
//创建登录身份校验拦截器
@Override //请求开始前触发的拦截方法
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//令牌验证
String token = request.getHeader("Authorization");
//去除token的前缀标记"Bearer "
var newToken = token.contains("Bearer ")?token.substring("Bearer ".length()):token;
try {
**//从redis获取相同的token
String redisToken = redisTemplate.opsForValue().get(newToken);
if(redisToken == null){
//redis失效
throw new RuntimeException("token失效");
}**
Map<String, Object> claims = JwtUtil.parseToken(token);
//把用户信息存储到ThreadLocal中,tomcat会在每次接口请求时创建一个线程 而ThreadLocal中存储的数据是线程安全的
ThreadLocalUtil.set(claims);
//放行
return true;
} catch (Exception e) {
//设置响应状态码
response.setStatus(401);
//设置响应字符集和响应内容
response.setCharacterEncoding("UTF-8");
response.setContentType("text/html; charset=UTF-8");
String errorMessage = "未登录";
response.getWriter().write("{\"error\": \"" + errorMessage + "\"}");
//不放行
return false;
}
}
@Override //请求完成后触发的拦截方法
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
//清空ThreadLocal中的数据
ThreadLocalUtil.remove();
}
}
修改密码后删除redis中的token
//修改密码接口中删除redis中对应的token ValueOperations<String, String> operations = stringRedisTemplate.opsForValue(); operations.getOperations().delete(newToken);
在本地开发中如果使用本地redis每次开发前还得去启动本地redis,就很麻烦,如果你有一个云服务器就可以本地连云服务器redis就不用每次去启动redis了,下面是实现教程:
前提是读者已经安装好了Redis。
因为刚学Linux不久,敲过一些命令,算不上熟悉,对网络防火墙那一块也不熟悉。
因此虽然在项目中已经开启了Redis服务,也写好配置类:
#redis spring.redis.host=x.x.x.x spring.redis.port=6379 spring.redis.database= 0 spring.redis.timeout=1800000
```java
@Configuration
@EnableCaching // 开启缓存处理,使用redis,将字典的数据缓存到其中!
public class RedisConfig {
private RedisCacheManager build;
/**
* 自定义key规则
*
* @return
*/
@Bean
public KeyGenerator keyGenerator() {
return new KeyGenerator() {
@Override
public Object generate(Object target, Method method, Object... params) {
StringBuilder sb = new StringBuilder();
sb.append(target.getClass().getName());
sb.append(method.getName());
for (Object obj : params) {
sb.append(obj.toString());
}
return sb.toString();
}
};
}
/**
* 设置RedisTemplate规则
*
* @param redisConnectionFactory
* @return
*/
@Bean
public RedisTemplate<Object, Object> redisTemplate(RedisConnectionFactory redisConnectionFactory) {
RedisTemplate<Object, Object> redisTemplate = new RedisTemplate<>();
redisTemplate.setConnectionFactory(redisConnectionFactory);
Jackson2JsonRedisSerializer jackson2JsonRedisSerializer = new Jackson2JsonRedisSerializer(Object.class);
//解决查询缓存转换异常的问题
ObjectMapper om = new ObjectMapper();
// 指定要序列化的域,field,get和set,以及修饰符范围,ANY是都有包括private和public
om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
// 指定序列化输入的类型,类必须是非final修饰的,final修饰的类,比如String,Integer等会跑出异常
om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
jackson2JsonRedisSerializer.setObjectMapper(om);
//序列号key value
redisTemplate.setKeySerializer(new StringRedisSerializer());
redisTemplate.setValueSerializer(jackson2JsonRedisSerializer);
redisTemplate.setHashKeySerializer(new StringRedisSerializer());
redisTemplate.setHashValueSerializer(jackson2JsonRedisSerializer);
redisTemplate.afterPropertiesSet();
return redisTemplate;
}
/**
* 设置CacheManager缓存规则
*
* @param factory
* @return
*/
@Bean
public CacheManager cacheManager(RedisConnectionFactory factory) {
RedisSerializer<String> redisSerializer = new StringRedisSerializer();
Jackson2JsonRedisSerializer jackson2JsonRedisSerializer = new Jackson2JsonRedisSerializer(Object.class);
//解决查询缓存转换异常的问题
ObjectMapper om = new ObjectMapper();
om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
jackson2JsonRedisSerializer.setObjectMapper(om);
// 配置序列化(解决乱码的问题),过期时间600秒
RedisCacheConfiguration config = RedisCacheConfiguration.defaultCacheConfig()
.entryTtl(Duration.ofSeconds(600))
.serializeKeysWith(RedisSerializationContext.SerializationPair.fromSerializer(redisSerializer))
.serializeValuesWith(RedisSerializationContext.SerializationPair.fromSerializer(jackson2JsonRedisSerializer))
.disableCachingNullValues();
RedisCacheManager cacheManager = RedisCacheManager.builder(factory)
.cacheDefaults(config)
.build();
return cacheManager;
}
}
但还是启动不了。
在这里梳理一下:
- 你先要去云服务器(这里以腾讯云为例)到防火墙里面添加端口,我就以默认的6379为例。
- 然后去你的linux上面查看你的防护墙有没有打开和防火墙有没有添加对应的端口号。命令如下
#查看linux上面防火墙的状态 systemctl status firewalld.service #如果是running的,就需要关了 systemctl stop firewalld.service [root@VM-4-12-centos ~]# firewall-cmd --query-port=6379/tcp#查询 no [root@VM-4-12-centos ~]# firewall-cmd --add-port=6379/tcp#添加 success
- 最后你还需要去你的redis.conf文件查看你的保护有没有打开,默认的端口号有没有注释掉:
做以下的修改,你就可以通过你的项目连接到Redis。
# bind 127.0.0.1 ::1 protected-mode no port 6379
到此这篇关于Redis优化token校验主动失效的实现方案的文章就介绍到这了,更多相关Redis token校验主动失效内容请搜索程序员之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持程序员之家!
相关文章
这篇文章主要介绍了Windows操作系统下Redis服务安装图文教程,文中给大家提供了redis的下载地址,安装程序步骤,需要的朋友可以参考下2018-03-03
Redis在实际应用中使用的非常广泛,本篇文章就从一个简单的需求说起,为你讲述一个需求是如何从头到尾开始做的,又是如何一步步完善的2019-12-12
Redis是一个开源、跨平台的数据库,因此Redis数据库可以运行在Windows、Linux、Mac OS和BSD等多个平台上,本文主要介绍了windows平台安装部署Redis,具有一定的参考价值,感兴趣的可以了解一下2023-10-10
这篇文章主要介绍了一文快速搞懂Redis的几种数据类型方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-10-10
在Redis中,我们可以为Key设置过期时间,当Key的过期时间到达后,Redis会自动将该Key标记为已失效,本文就来介绍一下redis key过期监听的实现示例,感兴趣的可以了解一下2024-03-03
Redis 的查询很快的原因解析及Redis 如何保证查询的高效
由于redis是内存数据库,归功于它的数据结构所以查询效率非常高,今天通过本文给大家介绍下Redis 的查询很快的原因解析及Redis 如何保证查询的高效,感兴趣的朋友一起看看吧2022-03-03
这篇文章主要介绍了springboot整合使用云服务器上的Redis,整合步骤通过导入依赖,配置yml文件,注入redisTemplate结合实例代码给大家介绍的非常详细,文中给大家分享了可能遇到的坑,感兴趣的朋友跟随小编一起看看吧2022-09-09
这篇文章主要为大家详细介绍了使用注解实现Redis缓存功能,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2022-07-07
这篇文章主要介绍了Redis中5种数据结构的使用场景介绍,本文对Redis中的5种数据类型String、Hash、List、Set、Sorted Set做了讲解,需要的朋友可以参考下2014-09-09
这篇文章主要介绍了redis数据结构之intset的实例详解的相关资料, intset也即整数集合,当集合保存的值数量不多时,redis使用intset作为其底层数据保存结构,希望通过本文能帮助到大家,需要的朋友可以参考下2017-09-09
最新评论