编程 SpringBoot 实现一人一号,无感刷新Jwt

2024-11-19 03:12:05 +0800 CST views 540

SpringBoot实战:SpringBoot 实现一人一号,无感刷新Jwt

引言

在现代应用的安全架构中,用户认证与授权机制占据着核心地位。特别是在多设备登录和高频请求的环境中,确保每位用户仅能通过一个账号登录,并有效管理Token的刷新策略,成为了后端开发中的重要挑战。通过整合Spring Boot 3、Spring Security 6、JWT(JSON Web Tokens)以及Redis等先进技术,可以构建出一个高效、安全的用户认证体系。本文将详细阐述如何实现“一人一号”的登录限制以及Token的无感刷新功能,以提升系统的安全性和用户体验。

一、一人一号认证

JwtTokenFilter拦截器中,核心任务是解析请求中的JWT Token,并与Redis中存储的Token进行比对,确保用户的Token有效且未被篡改。这种机制确保了当用户的Token变更后,任何旧的或失效的Token都将被拒绝访问,从而增强系统的安全性。

1.1 JwtTokenFilter拦截器代码

@Component
@RequiredArgsConstructor
public class JwtTokenFilter extends OncePerRequestFilter {

    private final JwtUtil jwtUtil;
    private final RedisUtil redisUtil;
    private final SystemConfiguration systemConfiguration;
    private final ServerProperties properties;

    @Override
    protected void doFilterInternal(@NonNull HttpServletRequest request, @NonNull HttpServletResponse response, @NonNull FilterChain filterChain) throws ServletException, IOException {
        String token = jwtUtil.removeTokenPrefix(request);
        String uri = request.getRequestURI();
        String contextPath = properties.getServlet().getContextPath();
        if (StringUtils.hasText(contextPath)) {
            uri = uri.substring(contextPath.length());
        }

        if (!SecurityUtil.isWhitelisted(uri, systemConfiguration.getSecurityWhitelistPaths()) && StringUtils.hasText(token)) {
            Authentication auth = jwtUtil.getAuthentication(token);
            if (auth == null) {
                if (jwtUtil.isJwtExpired(token)) {
                    ResponseUtil.writeIResultCodeMsg(response, HttpStatus.UNAUTHORIZED, ResultCode.AUTH_TOKEN_EXPIRED);
                } else {
                    ResponseUtil.writeIResultCodeMsg(response, HttpStatus.UNAUTHORIZED, ResultCode.AUTH_TOKEN_INVALID);
                }
                return;
            }

            Long userId = SecurityUtil.getUserId(auth);
            if (userId == null) {
                ResponseUtil.writeIResultCodeMsg(response, HttpStatus.UNAUTHORIZED, ResultCode.AUTH_TOKEN_INVALID);
                return;
            }

            LoginResult loginResult = redisUtil.getCacheObject(RedisKeyConstants.USER_TOKEN_CACHE_PREFIX + userId);
            if (loginResult == null) {
                ResponseUtil.writeIResultCodeMsg(response, HttpStatus.UNAUTHORIZED, ResultCode.AUTH_KICK_OUT);
                return;
            }
            if (!token.equals(loginResult.getAccessToken())) {
                ResponseUtil.writeIResultCodeMsg(response, HttpStatus.FORBIDDEN, ResultCode.AUTH_USER_ELSEWHERE_LOGIN);
                return;
            }
            SecurityContextHolder.getContext().setAuthentication(auth);
        }
        filterChain.doFilter(request, response);
    }
}

1.2 代码解析

  • OncePerRequestFilter:确保在每个请求中只执行一次过滤操作。
  • JwtUtil:用于解析和验证JWT Token。
  • RedisUtil:用于与Redis进行交互,存储和验证用户的Token。
  • 核心流程是将请求中的Token与Redis中存储的Token进行比对,不一致时则拒绝访问,确保“一人一号”的原则。

1.3 登录JWT流程

每次用户登录后,系统会将新的Token存入Redis,并覆盖掉旧的Token。当用户使用旧Token尝试访问时,拦截器会拒绝该请求。

public LoginResult getLoginResult(Authentication authenticate) {
    if (authenticate == null || authenticate.getPrincipal() == null) {
        return null;
    }
    SysUserDetails principal = (SysUserDetails) authenticate.getPrincipal();
    Duration accessTokenExpirationTime = jwtConfiguration.getAccessTokenExpirationTime();
    Duration refreshTokenExpirationTime = jwtConfiguration.getRefreshTokenExpirationTime();
    String accessToken = generateAccessToken(authenticate);
    String refreshToken = generateRefreshToken(authenticate);

    LoginResult result = LoginResult.builder()
        .accessToken(accessToken)
        .refreshToken(refreshToken)
        .expires(Date.from(Instant.now().plus(accessTokenExpirationTime)).getTime())
        .build();

    redisUtil.setCacheObject(RedisKeyConstants.USER_TOKEN_CACHE_PREFIX + principal.getUserId(), result, refreshTokenExpirationTime.toMillis(), TimeUnit.MILLISECONDS);
    redisUtil.setCacheObject(RedisKeyConstants.USER_PERMISSIONS_CACHE_PREFIX + principal.getUserId(), principal.getPermissions(), refreshTokenExpirationTime.toMillis(), TimeUnit.MILLISECONDS);

    return result;
}

二、无感刷新Token

无感刷新Token是通过解析和验证用户的AccessToken与RefreshToken,确保在合法情况下才能刷新Token。以下是无感刷新Token的实现。

2.1 Token刷新流程

@Override
public LoginResult refreshToken(RefreshTokenForm refreshTokenForm) {
    if (!jwtUtil.isJwtExpired(refreshTokenForm.getAccessToken())) {
        throw new ServiceException(ResultCode.AUTH_MALICIOUS_TOKEN_REFRESH);
    }

    Long userId = jwtUtil.getRefreshTokenUserId(refreshTokenForm.getRefreshToken());
    if (userId == null) {
        if (jwtUtil.isJwtExpired(refreshTokenForm.getRefreshToken())) {
            throw new ServiceException(ResultCode.AUTH_TOKEN_EXPIRED);
        } else {
            throw new ServiceException(ResultCode.AUTH_MALICIOUS_TOKEN_REFRESH);
        }
    }

    LoginResult loginResult = redisUtil.getCacheObject(RedisKeyConstants.USER_TOKEN_CACHE_PREFIX + userId);
    if (loginResult == null) {
        throw new ServiceException(ResultCode.AUTH_TOKEN_EXPIRED);
    }
    if (!refreshTokenForm.getAccessToken().equals(loginResult.getAccessToken()) || !refreshTokenForm.getRefreshToken().equals(loginResult.getRefreshToken())) {
        throw new ServiceException(ResultCode.AUTH_MALICIOUS_TOKEN_REFRESH);
    }

    return jwtUtil.refreshToken(refreshTokenForm);
}

2.2 代码解析

  • AccessToken过期检测:如果AccessToken未过期,则视为恶意刷新,抛出异常。
  • RefreshToken验证:通过解析RefreshToken获取用户ID,并与Redis中存储的Token进行比对,确保一致性。
  • 返回新Token:验证通过后,系统生成新的AccessToken与RefreshToken并返回,保持会话连续性。

2.3 关键点解析

  • 验证AccessToken是否过期:通过jwtUtil.isJwtExpired方法检测用户的AccessToken是否过期,未过期的刷新请求将视为恶意行为。
  • 检验Redis中的Token信息:确保用户提交的Token与Redis中存储的完全一致,防止非法刷新。

通过该机制,系统确保了用户认证过程的安全性,同时实现了Token的无感刷新,使用户体验更加流畅。

复制全文 生成海报 后端开发 安全架构 用户认证 技术实现

推荐文章

服务器推送技术及其在Spring中的实现,特别是SseEmitter的功能与用途
2024-11-19 06:14:07 +0800 CST
Spiff是一个用Python编写的工作流引擎,允许开发者定义、执行和管理复杂的工作流
2024-11-18 05:26:20 +0800 CST
PHP使用无头浏览器如何帮助数据提取和抓取
2024-11-19 00:20:57 +0800 CST
Go语言中的`io`包,涵盖了输入输出的基本概念及其相关接口
2024-11-19 08:52:16 +0800 CST
go语言`suffixarray`模块的功能,提供基于后缀数组的子串检索
2024-11-17 04:21:01 +0800 CST
基于反射的轻量级 Go 依赖注入框架
2024-11-19 07:03:56 +0800 CST
实现微信回调多域名的方法
2024-11-18 09:45:18 +0800 CST
VPS 搭建 7×24 时时无人监看推流服务器实现多平台同步直播
2025-04-01 22:19:52 +0800 CST
PHP 正则表达式: 从 `ereg_replace()` 迁移到 `preg_replace()`
2024-11-19 02:07:48 +0800 CST
Roop是一款免费开源的AI换脸工具
2024-11-19 08:31:01 +0800 CST
前端如何一次性渲染十万条数据?
2024-11-19 05:08:27 +0800 CST
Go 语言配置管理实战:深入掌握 Viper 的使用
2024-11-18 10:49:53 +0800 CST
Vue3中的`<transition>`组件在什么时候触发?
2024-11-17 05:15:46 +0800 CST
前端代码规范 - 图片相关
2024-11-19 08:34:48 +0800 CST
软件定制开发流程
2024-11-19 05:52:28 +0800 CST
Python协程(asyncio):最强的异步编程神器
2024-11-17 18:46:56 +0800 CST
sql语句分别按日,按周,按月,按季统计金额
2024-11-17 05:05:22 +0800 CST
如何在Rust中使用Axum和sqlx封装一个简单的分页查询函数
2024-11-19 03:57:58 +0800 CST
Node.js 发邮件全指南:高效、安全的自动化邮件发送解决方案
2024-11-18 03:16:18 +0800 CST
ColorUIGA是一个基于ColorUI2.0的高颜值、轻量级、开源的CSSUI组件库,专为小程序开发设计
2024-11-19 09:42:01 +0800 CST
Vue3项目中使用print.js实现网页的局部打印功能
2024-11-19 06:40:55 +0800 CST
#免密码登录服务器
2024-11-19 04:29:52 +0800 CST
在使用 MySQL 5.7 版本时,如果遇到以下错误提示: 深度解析 MySQL “Field 'remarks' doesn't have a default value” 错误及应对方案
2025-01-12 20:41:10 +0800 CST
如何安全使用SSH?限制在本地访问
2024-11-19 03:35:41 +0800 CST
Vue3中如何处理组件间的动画?
2024-11-17 04:54:49 +0800 CST
支付宝支付接口集成——手机网站支付单文件代码
2024-11-19 01:40:15 +0800 CST
实时监控网页变动的利器!- ChangeDetection
2024-11-19 10:07:56 +0800 CST
使用 Nginx 获取客户端真实 IP
2024-11-18 14:51:58 +0800 CST
如何在Vue3中使用vue-router添加简单的路由功能
2024-11-18 18:02:32 +0800 CST
更新了AI续写和AI纠错功能,并增加了AI补充参数的选项
2024-11-19 09:52:25 +0800 CST
10个热门的Node.js开源项目,包括Express、Koa、Socket.IO等
2024-11-18 08:32:19 +0800 CST
JavaScript设计模式:组合模式
2024-11-18 11:14:46 +0800 CST
使用Node.js进行高性能的图片格式转换,重点推荐WebP格式以减小文件体积并提高加载速度
2024-11-18 15:50:54 +0800 CST
Flowise是一个开源的拖放式工具,旨在帮助开发者快速构建定制化的大语言模型(LLM)应用
2024-11-18 21:36:00 +0800 CST
Vue3 中的 `emits` 选项是用来做什么的?
2024-11-17 16:00:20 +0800 CST
Nginx 如何防止 DDoS 攻击
2024-11-18 21:51:48 +0800 CST
PHP中使用PDO和mysqli实现MySQL数据的分页
2024-11-18 16:01:42 +0800 CST
Vue3中的事件处理方式有何变化?
2024-11-17 17:10:29 +0800 CST
如何编写一个Shell脚本来清空`log.db`数据库中的`logs`表宝塔日志
2024-11-19 09:55:50 +0800 CST
如何在Vue中为组件添加简单的CSS动画和过渡效果
2024-11-18 05:29:03 +0800 CST
btp-devops是一个在Python中非常有用的库,旨在简化开发运维过程
2024-11-19 07:50:26 +0800 CST
解决php中出现cURL error 60: SSL certificate problem: unable to get local issuer certificate
2024-11-18 19:18:40 +0800 CST
如何在Vue3中使用provide和inject进行依赖注入
2024-11-18 22:31:57 +0800 CST
php在使用JQuery.lazyload图片懒加载时,正则替换Img的src为original
2024-11-17 18:13:34 +0800 CST
实现系统的动态热部署功能,允许用户上传自定义实现的Jar包并在不重启系统的情况下自动加载
2024-11-18 20:57:45 +0800 CST
为什么在 Vue.js 的组件中,data 必须是一个函数而不是一个对象?
2024-11-18 18:17:37 +0800 CST
Go语言中的深拷贝:概念、实现与局限
2024-11-18 12:15:44 +0800 CST
7种常见的前端攻击及其防范措施,包括跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、点击劫持、CDN劫持、HTTPS降级攻击和中间人攻击(MitM)
2024-11-19 01:35:40 +0800 CST
`context`包是Go语言中的标准库,用于在并发环境中安全地传递上下文信息
2024-11-19 04:28:00 +0800 CST
如果我们转向 Rust,80% 的软件黑客将消失
2024-11-18 22:17:38 +0800 CST
程序员茄子在线接单