使用JWT来做后台认证api支撑(jwt

2021-01-30 19:18

阅读:554

标签:设定   请求头   string   方式   auth   bsp   设备   lag   eth   

为移动端api做认证时,通过token的方式来做认证。使用jwt规范,具体实现如(请参考java-jwt文档); 总体流程:用户登录后,签发token给客户端,并保存该token到缓存jwtCache中,客户端每次访问api时,请求头中带token过来,判断该token是否是签发过的token,若是运行访问,不是,则拒绝访问;

遇到的问题:

        1.单使用jwt,当到过期时间时,用户继续访问会被强制性退出。
        2.当用户在web端修改了用户密码,或者禁止用户登录,怎样判定该token失效,让用户退出登录;

解决方法: 

        1.与ehcache集成,设定缓存的失效时间与过期存活时间。
        2.用户修改密码或者禁止登录时,对该用户的jwtCache缓存进行清除;拦截器中判定该token是否存在 于缓存该用户的集合中,若存在,则有效,不存在则无效,退出登录;

1. 登录成功,生成token:

1.1 token中payload的自定义数据为(userId,签发日期,随机数),随机数是为了同一用户在不同设备同时登录时(或者并发之类),使得签发的token做唯一性处理;

1.2 secret定义为配置文件的jwtSecret:uuid;

1.3 把生成的token存放在缓存jwtCache中;其中jwtCache缓存定义的过期时间为十四天,过期还可以存活的时间设置为半小时;缓存存放时以userId为key,value值为Set类型的token集合;

1.4 把生成的 token 返回给客户端调用者;

2. 当用户的密码被修改或者loginFlag=0,从jwtCache缓存中清除该userId对应的值;

3. 拦截器校验token是否有效;我们说登录成功后,签发出去的token都是永久可校验通过的;

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
try{
      3.1 获取客户端请求过来的token=request.getHeader("token");

      3.2 校验token(JWT jwt = verifier.verify(token));

          3.2.1 获取当前token中的userId,签发日期;
                  Set tokens=jwtCache.get(userId);
                  判断当前用户所签发的所有tokens中是否存在该token,若不存在,表示该token已过期失效,禁止访问api;

          3.2.2 若存在该token,表示该token未过期,允许访问api;

  }catch(JWTVerificationException e){
  ------------------------
      3.3 INVALID:校验失败的token,禁止继续访问api
  }

原文:大专栏  使用JWT来做后台认证api支撑(jwt


使用JWT来做后台认证api支撑(jwt

标签:设定   请求头   string   方式   auth   bsp   设备   lag   eth   

原文地址:https://www.cnblogs.com/dajunjun/p/11643653.html


评论


亲,登录后才可以留言!