[问答]

标识jti如何判断该标识是否存在黑名单列表？

9596

问答对人有帮助，内容完整，我也想知道答案 0 标识jti如何判断该标识是否存在黑名单列表 0
2020-11-9 06:41:59　　评论淘帖0 邀请回答您可以邀请以下用户，快速回答问题 × 陈该类别下有 5 个回答。邀请回答 jf_71236567 该类别下有 3 个回答。邀请回答 tijing忽忽该类别下有 2 个回答。邀请回答 HELLOKITTYNEW 该类别下有 2 个回答。邀请回答 dlksmad 该类别下有 2 个回答。邀请回答 nvwwerwr 该类别下有 2 个回答。邀请回答 mu0543 该类别下有 2 个回答。邀请回答 60user28 该类别下有 2 个回答。邀请回答 To7ny 该类别下有 2 个回答。邀请回答 yhsales 该类别下有 2 个回答。邀请回答 puzhang549 该类别下有 2 个回答。邀请回答 ZONEK 该类别下有 2 个回答。邀请回答 nhonglan 该类别下有 1 个回答。邀请回答 huangdajiang 该类别下有 1 个回答。邀请回答 yangwenzhen 该类别下有 1 个回答。邀请回答小花花1 该类别下有 1 个回答。邀请回答 yzrui 该类别下有 1 个回答。邀请回答 IseekerTonyZhu 该类别下有 1 个回答。邀请回答 jf_82120370 该类别下有 1 个回答。邀请回答 Tianzx11 该类别下有 1 个回答。邀请回答举报王蓓相关推荐 • 数据表表示列表上最多只能有8个设备吗？ 1507 • 请问要做这样的项目需要什么样的单片机？ 2130 • 自家APP扫描列表只显示自家蓝牙设备的原理 5113 • 请问比赛时候用的板必须要有“ NUEDC NUEDCNUEDC ”标识吗？ 1301 • 请问PoE系统如何附带标识？ 834 • 认识能效标识，买省电家电！ 2507 • RCS目标识别 2686 • 怎样把字符串格式的时间标识恢复成时间标识格式？ 3278 • 怎样将时间标识控件分别输出时间和日期，输出的时间和日期也是时间标识格式的。 6854 • 2812的eCAN模块接收消息的接收标识符怎么读取 3112 1个回答

答案对人有帮助，有参考价值 0 JWT最大的一个优势在于它是无状态的，自身包含了认证鉴权所需要的所有信息，服务器端无需对其存储，从而给服务器减少了存储开销。但是无状态引出的问题也是可想而知的，它无法作废未过期的JWT。举例说明注销场景下，就传统的cookie/session认证机制，只需要把存在服务器端的session删掉就OK了。但是JWT呢，它是不存在服务器端的啊，好的那我删存在客户端的JWT行了吧。额，社会本就复杂别再欺骗自己了好么，被你在客户端删掉的JWT还是可以通过服务器端认证的。首先明确一点JWT失效的唯一途径就是等过期，就是说不借助外力的情况下，无法达到某些场景下需要主动使JWT失效的目的。而外力则是在服务器端存储着JWT的状态，在请求资源时添加判断逻辑，这与JWT特性无状态是相互矛盾的存在。但是，你要知道如果你选择走上了JWT这条路，那就没得选了。如果你有好的方式，希望你来打我脸。以下就JWT在某些场景需要失效的简单方案整理如下：白名单方式认证通过时，把JWT缓存到Redis，注销时，从缓存移除JWT。请求资源添加判断JWT在缓存中是否存在，不存在拒绝访问。这种方式和cookie/session机制中的会话失效删除session基本一致。黑名单方式注销登录时，缓存JWT至Redis，且缓存有效时间设置为JWT的有效期，请求资源时判断是否存在缓存的黑名单中，存在则拒绝访问。白名单和黑名单的实现逻辑差不多，黑名单不需每次登录都将JWT缓存，仅仅在某些特殊场景下需要缓存JWT，给服务器带来的压力要远远小于白名单的方式。三. 黑名单方式实现以下演示在退出登录时通过添加至黑名单的方式实现JWT失效逻辑很明确，在调用退出登录接口时将JWT缓存到Redis的黑名单中，然后在网关做判定请求头的JWT是否在黑名单内做对应的处理。认证中心(youlai-auth)退出登录接口登出接口/oauth/logout的主要逻辑把JWT添加至Redis黑名单缓存中，但没必要把整个JWT字符串都存储下来，JWT的载体中有个jti(JWT ID)字段声明为JWT提供了唯一的标识符。JWT解析的结构如下：既然有这么个字段能作为JWT的唯一标识，从JWT解析出jti之后将其存储到黑名单中作为判别依据，相较于存储完整的JWT字符串减少了存储开销。另外我们只需保证JWT在其有效期内用户登出后失效就可以了，JWT有效期过了黑名单也就没有存在的必要，所以我们这里还需要设置黑名单的过期时间，不然黑名单的数量会无休止的越来越多，这是我们不想看到的。 @Api(tags = "认证中心") @RestController @RequestMapping("/oauth") @AllArgsConstructor public class AuthController { private RedisTemplate redisTemplate;@DeleteMapping("/logout")public Result logout(HttpServletRequest request) { String payload = request.getHeader(AuthConstants.JWT_PAYLOAD_KEY); JSONObject jsonObject = JSONUtil.parseObj(payload); String jti = jsonObject.getStr("jti"); // JWT唯一标识 long exp = jsonObject.getLong("exp"); // JWT过期时间戳(单位:秒) long currentTimeSeconds = System.currentTimeMillis() / 1000; if (exp < currentTimeSeconds) { // token已过期 return Result.custom(ResultCode.INVALID_TOKEN_OR_EXPIRED); } redisTemplate.opsForValue().set(AuthConstants.TOKEN_BLACKLIST_PREFIX + jti, null, (exp - currentTimeSeconds), TimeUnit.SECONDS); return Result.success();}} 网关(youlai-gateway)的全局过滤器从请求头提取JWT，解析出唯一标识jti，然后判断该标识是否存在黑名单列表里，如果是直接返回响应token失效的提示信息。 /** 全局过滤器黑名单token过滤 / @Component @Slf4j @AllArgsConstructor public class AuthGlobalFilter implements GlobalFilter, Ordered { private RedisTemplate redisTemplate; @SneakyThrows @Override public Mono filter(ServerWebExchange exchange, GatewayFilterChain chain) { String token = exchange.getRequest().getHeaders().getFirst(AuthConstants.JWT_TOKEN_HEADER); if (StrUtil.isBlank(token)) { return chain.filter(exchange); } token = token.replace(AuthConstants.JWT_TOKEN_PREFIX, Strings.EMPTY); JWSObject jwsObject = JWSObject.parse(token); String payload = jwsObject.getPayload().toString(); // 黑名单token(登出、修改密码)校验 JSONObject jsonObject = JSONUtil.parseObj(payload); String jti = jsonObject.getStr("jti"); // JWT唯一标识 Boolean isBlack = redisTemplate.hasKey(AuthConstants.TOKEN_BLACKLIST_PREFIX + jti); if (isBlack) { ServerHttpResponse response = exchange.getResponse(); response.setStatusCode(HttpStatus.OK); response.getHeaders().set(HttpHeaders.CONTENT_TYPE, MediaType.APPLICATION_JSON_VALUE); response.getHeaders().set("Access-Control-Allow-Origin", ""); response.getHeaders().set("Cache-Control", "no-cache"); String body = JSONUtil.toJsonStr(Result.custom(ResultCode.INVALID_TOKEN_OR_EXPIRED)); DataBuffer buffer = response.bufferFactory().wrap(body.getBytes(Charset.forName("UTF-8"))); return response.writeWith(Mono.just(buffer)); } ServerHttpRequest request = exchange.getRequest().mutate() .header(AuthConstants.JWT_PAYLOAD_KEY, payload) .build(); exchange = exchange.mutate().request(request).build(); return chain.filter(exchange);} @Override public int getOrder() { return 0; } } 注销后JWT失效测试测试流程涉及到以下3个接口登录访问资源 http://localhost:9999/youlai-auth/oauth/token http://localhost:9999/youlai-admin/users/me 退出登录再次访问资源 http://localhost:9999/youlai-auth/oauth/logout http://localhost:9999/youlai-admin/users/me 退出成功查看redis缓存黑名单列表再次访问登录用户信息如下：可以看到退出登录后再次使用原JWT请求提示“token无效或已过期” youlai-mall项目退出登录演示上面报“token无效或已过期”的响应码是"A0230"，这个对应的是Java开发手册【泰山版】的错误码打开之前搭建好的前端管理平台youlai-mall-admin-web，修改src/util/request.js文件中的无效token的响应码为“A0230”，这样在token无效的情况下提示重新登录演示通过第三方接口调试工具调用注销接口让JWT失效，然后再次刷新页面请求资源会因为JWT的失效而跳转到登录页。四. 总结 JWT是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式应用的统一认证鉴权。但是事物往往具有两面性，有利必有弊，因为JWT的无状态，自生成后不借助外界条件唯一失效的方式就是过期。然而借助的外界的条件后JWT便有状态了的，也就是没有所谓严格意义上的无状态，其实也不必纠结于此，因为瑕不掩瑜。在白名单和黑名单的实现方式，这里选择了后者状态性更小的黑名单方式。

2020-11-9 15:08:55 评论举报张英