编程 SpringBoot 实现一人一号,无感刷新Jwt

2024-11-19 03:12:05 +0800 CST views 999

SpringBoot实战:SpringBoot 实现一人一号,无感刷新Jwt

引言

在现代应用的安全架构中,用户认证与授权机制占据着核心地位。特别是在多设备登录和高频请求的环境中,确保每位用户仅能通过一个账号登录,并有效管理Token的刷新策略,成为了后端开发中的重要挑战。通过整合Spring Boot 3、Spring Security 6、JWT(JSON Web Tokens)以及Redis等先进技术,可以构建出一个高效、安全的用户认证体系。本文将详细阐述如何实现“一人一号”的登录限制以及Token的无感刷新功能,以提升系统的安全性和用户体验。

一、一人一号认证

JwtTokenFilter拦截器中,核心任务是解析请求中的JWT Token,并与Redis中存储的Token进行比对,确保用户的Token有效且未被篡改。这种机制确保了当用户的Token变更后,任何旧的或失效的Token都将被拒绝访问,从而增强系统的安全性。

1.1 JwtTokenFilter拦截器代码

@Component
@RequiredArgsConstructor
public class JwtTokenFilter extends OncePerRequestFilter {

    private final JwtUtil jwtUtil;
    private final RedisUtil redisUtil;
    private final SystemConfiguration systemConfiguration;
    private final ServerProperties properties;

    @Override
    protected void doFilterInternal(@NonNull HttpServletRequest request, @NonNull HttpServletResponse response, @NonNull FilterChain filterChain) throws ServletException, IOException {
        String token = jwtUtil.removeTokenPrefix(request);
        String uri = request.getRequestURI();
        String contextPath = properties.getServlet().getContextPath();
        if (StringUtils.hasText(contextPath)) {
            uri = uri.substring(contextPath.length());
        }

        if (!SecurityUtil.isWhitelisted(uri, systemConfiguration.getSecurityWhitelistPaths()) && StringUtils.hasText(token)) {
            Authentication auth = jwtUtil.getAuthentication(token);
            if (auth == null) {
                if (jwtUtil.isJwtExpired(token)) {
                    ResponseUtil.writeIResultCodeMsg(response, HttpStatus.UNAUTHORIZED, ResultCode.AUTH_TOKEN_EXPIRED);
                } else {
                    ResponseUtil.writeIResultCodeMsg(response, HttpStatus.UNAUTHORIZED, ResultCode.AUTH_TOKEN_INVALID);
                }
                return;
            }

            Long userId = SecurityUtil.getUserId(auth);
            if (userId == null) {
                ResponseUtil.writeIResultCodeMsg(response, HttpStatus.UNAUTHORIZED, ResultCode.AUTH_TOKEN_INVALID);
                return;
            }

            LoginResult loginResult = redisUtil.getCacheObject(RedisKeyConstants.USER_TOKEN_CACHE_PREFIX + userId);
            if (loginResult == null) {
                ResponseUtil.writeIResultCodeMsg(response, HttpStatus.UNAUTHORIZED, ResultCode.AUTH_KICK_OUT);
                return;
            }
            if (!token.equals(loginResult.getAccessToken())) {
                ResponseUtil.writeIResultCodeMsg(response, HttpStatus.FORBIDDEN, ResultCode.AUTH_USER_ELSEWHERE_LOGIN);
                return;
            }
            SecurityContextHolder.getContext().setAuthentication(auth);
        }
        filterChain.doFilter(request, response);
    }
}

1.2 代码解析

  • OncePerRequestFilter:确保在每个请求中只执行一次过滤操作。
  • JwtUtil:用于解析和验证JWT Token。
  • RedisUtil:用于与Redis进行交互,存储和验证用户的Token。
  • 核心流程是将请求中的Token与Redis中存储的Token进行比对,不一致时则拒绝访问,确保“一人一号”的原则。

1.3 登录JWT流程

每次用户登录后,系统会将新的Token存入Redis,并覆盖掉旧的Token。当用户使用旧Token尝试访问时,拦截器会拒绝该请求。

public LoginResult getLoginResult(Authentication authenticate) {
    if (authenticate == null || authenticate.getPrincipal() == null) {
        return null;
    }
    SysUserDetails principal = (SysUserDetails) authenticate.getPrincipal();
    Duration accessTokenExpirationTime = jwtConfiguration.getAccessTokenExpirationTime();
    Duration refreshTokenExpirationTime = jwtConfiguration.getRefreshTokenExpirationTime();
    String accessToken = generateAccessToken(authenticate);
    String refreshToken = generateRefreshToken(authenticate);

    LoginResult result = LoginResult.builder()
        .accessToken(accessToken)
        .refreshToken(refreshToken)
        .expires(Date.from(Instant.now().plus(accessTokenExpirationTime)).getTime())
        .build();

    redisUtil.setCacheObject(RedisKeyConstants.USER_TOKEN_CACHE_PREFIX + principal.getUserId(), result, refreshTokenExpirationTime.toMillis(), TimeUnit.MILLISECONDS);
    redisUtil.setCacheObject(RedisKeyConstants.USER_PERMISSIONS_CACHE_PREFIX + principal.getUserId(), principal.getPermissions(), refreshTokenExpirationTime.toMillis(), TimeUnit.MILLISECONDS);

    return result;
}

二、无感刷新Token

无感刷新Token是通过解析和验证用户的AccessToken与RefreshToken,确保在合法情况下才能刷新Token。以下是无感刷新Token的实现。

2.1 Token刷新流程

@Override
public LoginResult refreshToken(RefreshTokenForm refreshTokenForm) {
    if (!jwtUtil.isJwtExpired(refreshTokenForm.getAccessToken())) {
        throw new ServiceException(ResultCode.AUTH_MALICIOUS_TOKEN_REFRESH);
    }

    Long userId = jwtUtil.getRefreshTokenUserId(refreshTokenForm.getRefreshToken());
    if (userId == null) {
        if (jwtUtil.isJwtExpired(refreshTokenForm.getRefreshToken())) {
            throw new ServiceException(ResultCode.AUTH_TOKEN_EXPIRED);
        } else {
            throw new ServiceException(ResultCode.AUTH_MALICIOUS_TOKEN_REFRESH);
        }
    }

    LoginResult loginResult = redisUtil.getCacheObject(RedisKeyConstants.USER_TOKEN_CACHE_PREFIX + userId);
    if (loginResult == null) {
        throw new ServiceException(ResultCode.AUTH_TOKEN_EXPIRED);
    }
    if (!refreshTokenForm.getAccessToken().equals(loginResult.getAccessToken()) || !refreshTokenForm.getRefreshToken().equals(loginResult.getRefreshToken())) {
        throw new ServiceException(ResultCode.AUTH_MALICIOUS_TOKEN_REFRESH);
    }

    return jwtUtil.refreshToken(refreshTokenForm);
}

2.2 代码解析

  • AccessToken过期检测:如果AccessToken未过期,则视为恶意刷新,抛出异常。
  • RefreshToken验证:通过解析RefreshToken获取用户ID,并与Redis中存储的Token进行比对,确保一致性。
  • 返回新Token:验证通过后,系统生成新的AccessToken与RefreshToken并返回,保持会话连续性。

2.3 关键点解析

  • 验证AccessToken是否过期:通过jwtUtil.isJwtExpired方法检测用户的AccessToken是否过期,未过期的刷新请求将视为恶意行为。
  • 检验Redis中的Token信息:确保用户提交的Token与Redis中存储的完全一致,防止非法刷新。

通过该机制,系统确保了用户认证过程的安全性,同时实现了Token的无感刷新,使用户体验更加流畅。

复制全文 生成海报 后端开发 安全架构 用户认证 技术实现

推荐文章

在Vue中,你有使用过Vue的过渡效果吗?
2024-11-17 15:31:55 +0800 CST
四舍五入五成双
2024-11-17 05:01:29 +0800 CST
Grid布局的简洁性和高效性
2024-11-18 03:48:02 +0800 CST
d8s-uuids是一个Python库,用于生成UUID
2024-11-19 03:48:34 +0800 CST
Rust API 服务器:发送和接收字节数据
2024-11-19 05:47:24 +0800 CST
纯CSS实现3D云动画效果
2024-11-18 18:48:05 +0800 CST
快速提升Vue3开发者的效率和界面
2025-05-11 23:37:03 +0800 CST
php机器学习神经网络库
2024-11-19 09:03:47 +0800 CST
Kinit:一套开箱即用的中后台解决方案
2024-11-19 02:42:29 +0800 CST
开发外贸客户的推荐网站
2024-11-17 04:44:05 +0800 CST
如何在Vue中创建一个简单的表单并处理表单提交
2024-11-17 07:47:15 +0800 CST
twhook是一个为TwitterAPI设计的Python库
2024-11-19 05:09:50 +0800 CST
宝塔在 Tengine-Nginx 已编译情况下增加模块
2024-11-18 23:09:44 +0800 CST
如何在Vue3中使用动态CSS类名实现条件渲染?
2024-11-19 09:28:23 +0800 CST
Go语言中实现RSA加密与解密
2024-11-18 01:49:30 +0800 CST
Vue 中的作用域插槽(Scoped Slot)是什么,如何使用它?
2024-11-18 18:41:20 +0800 CST
Python 中提升生产力的 12 个代码示例
2024-11-18 11:34:55 +0800 CST
UniApp H5跨域问题终极解决方案:两种代理配置方式详解
2025-09-01 20:46:27 +0800 CST
html折叠登陆表单
2024-11-18 19:51:14 +0800 CST
25个实用的JavaScript单行代码片段
2024-11-18 04:59:49 +0800 CST
您需要了解的 10 个顶级 JavaScript 库
2024-11-18 17:37:43 +0800 CST
如何通过Frp和Nginx配置,实现通过阿里云服务器的子域名访问公司内网服务器上的服务
2024-11-19 06:45:49 +0800 CST
Vue3 组件通信详解:父传子、子传父与兄弟组件通信
2025-03-21 08:45:59 +0800 CST
微信内弹出提示外部浏览器打开
2024-11-18 19:26:44 +0800 CST
支付轮询打赏系统介绍
2024-11-18 16:40:31 +0800 CST
90% 开发者还在用的 `substr()`,浏览器早已废弃
2025-08-15 12:08:58 +0800 CST
如何判断用户是否离开了当前页面?
2025-06-28 17:11:21 +0800 CST
手机盲盒系统支持微信小程序和h5
2024-11-18 16:12:48 +0800 CST
16.6k+ 开源精准 IP 地址库
2024-11-17 23:14:40 +0800 CST
如何在Vue3中使用模板引用操作DOM?
2024-11-18 19:57:44 +0800 CST
解锁CSS无限可能:UI Verse——4500+特效资源库助你高效开发
2025-03-29 16:13:22 +0800 CST
一行代码提升5倍性能!FastAPI JSON序列化极致优化指南
2025-08-31 08:51:20 +0800 CST
如何在Vue3中定义一个组件?
2024-11-17 04:15:09 +0800 CST
Vue3中如何扩展VNode?
2024-11-17 19:33:18 +0800 CST
宝塔Nginx 内容替换 Substitution Filter 配置示例
2024-11-19 08:13:47 +0800 CST
Vue3中如何处理WebSocket通信?
2024-11-19 09:50:58 +0800 CST
Vue3中的JSX有什么不同?
2024-11-18 16:18:49 +0800 CST
分享3个超级炫酷的可视化大屏模板
2024-11-18 20:38:45 +0800 CST
Vue3实现了一个个人简历生成器,用户可以动态填写个人信息并生成PDF格式的简历。
2024-11-18 20:34:39 +0800 CST
前端接口防止重复请求的实现方案,主要通过axios拦截器来处理请求和响应
2024-11-19 08:37:02 +0800 CST
Golang 中应该知道的 defer 知识
2024-11-18 13:18:56 +0800 CST
自定义input文件上传 file的提示文字及样式
2024-11-17 05:01:13 +0800 CST
Go-Zero实战:抽奖算法的设计与实现
2024-11-18 18:12:42 +0800 CST
企业官网案例-芊诺网络科技官网
2024-11-18 11:30:20 +0800 CST
Plate:基于AI+MCP的下一代富文本编辑器开发框架
2025-08-20 10:33:21 +0800 CST
告别Loading!6行代码实现页面秒开的Speculation Rules API实战指南
2025-09-11 18:33:38 +0800 CST
如何在Vue3中使用provide/inject实现跨组件状态共享?
2024-11-17 14:16:16 +0800 CST
用 HTML、CSS 和 JavaScript 创建颜色选择器
2024-11-18 16:50:17 +0800 CST
go语言filepath包能够自动的根据不同的操作系统文件路径进行转换
2024-11-18 19:42:43 +0800 CST
前端项目中的日志打印规范,包括日志等级的定义、日志内容的组成、统一的日志格式、日志输出的方法以及日志的封装和收集
2024-11-18 21:06:37 +0800 CST
程序员茄子在线接单