编程 SpringBoot 实现一人一号,无感刷新Jwt

2024-11-19 03:12:05 +0800 CST views 547

SpringBoot实战:SpringBoot 实现一人一号,无感刷新Jwt

引言

在现代应用的安全架构中,用户认证与授权机制占据着核心地位。特别是在多设备登录和高频请求的环境中,确保每位用户仅能通过一个账号登录,并有效管理Token的刷新策略,成为了后端开发中的重要挑战。通过整合Spring Boot 3、Spring Security 6、JWT(JSON Web Tokens)以及Redis等先进技术,可以构建出一个高效、安全的用户认证体系。本文将详细阐述如何实现“一人一号”的登录限制以及Token的无感刷新功能,以提升系统的安全性和用户体验。

一、一人一号认证

JwtTokenFilter拦截器中,核心任务是解析请求中的JWT Token,并与Redis中存储的Token进行比对,确保用户的Token有效且未被篡改。这种机制确保了当用户的Token变更后,任何旧的或失效的Token都将被拒绝访问,从而增强系统的安全性。

1.1 JwtTokenFilter拦截器代码

@Component
@RequiredArgsConstructor
public class JwtTokenFilter extends OncePerRequestFilter {

    private final JwtUtil jwtUtil;
    private final RedisUtil redisUtil;
    private final SystemConfiguration systemConfiguration;
    private final ServerProperties properties;

    @Override
    protected void doFilterInternal(@NonNull HttpServletRequest request, @NonNull HttpServletResponse response, @NonNull FilterChain filterChain) throws ServletException, IOException {
        String token = jwtUtil.removeTokenPrefix(request);
        String uri = request.getRequestURI();
        String contextPath = properties.getServlet().getContextPath();
        if (StringUtils.hasText(contextPath)) {
            uri = uri.substring(contextPath.length());
        }

        if (!SecurityUtil.isWhitelisted(uri, systemConfiguration.getSecurityWhitelistPaths()) && StringUtils.hasText(token)) {
            Authentication auth = jwtUtil.getAuthentication(token);
            if (auth == null) {
                if (jwtUtil.isJwtExpired(token)) {
                    ResponseUtil.writeIResultCodeMsg(response, HttpStatus.UNAUTHORIZED, ResultCode.AUTH_TOKEN_EXPIRED);
                } else {
                    ResponseUtil.writeIResultCodeMsg(response, HttpStatus.UNAUTHORIZED, ResultCode.AUTH_TOKEN_INVALID);
                }
                return;
            }

            Long userId = SecurityUtil.getUserId(auth);
            if (userId == null) {
                ResponseUtil.writeIResultCodeMsg(response, HttpStatus.UNAUTHORIZED, ResultCode.AUTH_TOKEN_INVALID);
                return;
            }

            LoginResult loginResult = redisUtil.getCacheObject(RedisKeyConstants.USER_TOKEN_CACHE_PREFIX + userId);
            if (loginResult == null) {
                ResponseUtil.writeIResultCodeMsg(response, HttpStatus.UNAUTHORIZED, ResultCode.AUTH_KICK_OUT);
                return;
            }
            if (!token.equals(loginResult.getAccessToken())) {
                ResponseUtil.writeIResultCodeMsg(response, HttpStatus.FORBIDDEN, ResultCode.AUTH_USER_ELSEWHERE_LOGIN);
                return;
            }
            SecurityContextHolder.getContext().setAuthentication(auth);
        }
        filterChain.doFilter(request, response);
    }
}

1.2 代码解析

  • OncePerRequestFilter:确保在每个请求中只执行一次过滤操作。
  • JwtUtil:用于解析和验证JWT Token。
  • RedisUtil:用于与Redis进行交互,存储和验证用户的Token。
  • 核心流程是将请求中的Token与Redis中存储的Token进行比对,不一致时则拒绝访问,确保“一人一号”的原则。

1.3 登录JWT流程

每次用户登录后,系统会将新的Token存入Redis,并覆盖掉旧的Token。当用户使用旧Token尝试访问时,拦截器会拒绝该请求。

public LoginResult getLoginResult(Authentication authenticate) {
    if (authenticate == null || authenticate.getPrincipal() == null) {
        return null;
    }
    SysUserDetails principal = (SysUserDetails) authenticate.getPrincipal();
    Duration accessTokenExpirationTime = jwtConfiguration.getAccessTokenExpirationTime();
    Duration refreshTokenExpirationTime = jwtConfiguration.getRefreshTokenExpirationTime();
    String accessToken = generateAccessToken(authenticate);
    String refreshToken = generateRefreshToken(authenticate);

    LoginResult result = LoginResult.builder()
        .accessToken(accessToken)
        .refreshToken(refreshToken)
        .expires(Date.from(Instant.now().plus(accessTokenExpirationTime)).getTime())
        .build();

    redisUtil.setCacheObject(RedisKeyConstants.USER_TOKEN_CACHE_PREFIX + principal.getUserId(), result, refreshTokenExpirationTime.toMillis(), TimeUnit.MILLISECONDS);
    redisUtil.setCacheObject(RedisKeyConstants.USER_PERMISSIONS_CACHE_PREFIX + principal.getUserId(), principal.getPermissions(), refreshTokenExpirationTime.toMillis(), TimeUnit.MILLISECONDS);

    return result;
}

二、无感刷新Token

无感刷新Token是通过解析和验证用户的AccessToken与RefreshToken,确保在合法情况下才能刷新Token。以下是无感刷新Token的实现。

2.1 Token刷新流程

@Override
public LoginResult refreshToken(RefreshTokenForm refreshTokenForm) {
    if (!jwtUtil.isJwtExpired(refreshTokenForm.getAccessToken())) {
        throw new ServiceException(ResultCode.AUTH_MALICIOUS_TOKEN_REFRESH);
    }

    Long userId = jwtUtil.getRefreshTokenUserId(refreshTokenForm.getRefreshToken());
    if (userId == null) {
        if (jwtUtil.isJwtExpired(refreshTokenForm.getRefreshToken())) {
            throw new ServiceException(ResultCode.AUTH_TOKEN_EXPIRED);
        } else {
            throw new ServiceException(ResultCode.AUTH_MALICIOUS_TOKEN_REFRESH);
        }
    }

    LoginResult loginResult = redisUtil.getCacheObject(RedisKeyConstants.USER_TOKEN_CACHE_PREFIX + userId);
    if (loginResult == null) {
        throw new ServiceException(ResultCode.AUTH_TOKEN_EXPIRED);
    }
    if (!refreshTokenForm.getAccessToken().equals(loginResult.getAccessToken()) || !refreshTokenForm.getRefreshToken().equals(loginResult.getRefreshToken())) {
        throw new ServiceException(ResultCode.AUTH_MALICIOUS_TOKEN_REFRESH);
    }

    return jwtUtil.refreshToken(refreshTokenForm);
}

2.2 代码解析

  • AccessToken过期检测:如果AccessToken未过期,则视为恶意刷新,抛出异常。
  • RefreshToken验证:通过解析RefreshToken获取用户ID,并与Redis中存储的Token进行比对,确保一致性。
  • 返回新Token:验证通过后,系统生成新的AccessToken与RefreshToken并返回,保持会话连续性。

2.3 关键点解析

  • 验证AccessToken是否过期:通过jwtUtil.isJwtExpired方法检测用户的AccessToken是否过期,未过期的刷新请求将视为恶意行为。
  • 检验Redis中的Token信息:确保用户提交的Token与Redis中存储的完全一致,防止非法刷新。

通过该机制,系统确保了用户认证过程的安全性,同时实现了Token的无感刷新,使用户体验更加流畅。

复制全文 生成海报 后端开发 安全架构 用户认证 技术实现

推荐文章

HTML + CSS 实现微信钱包界面
2024-11-18 14:59:25 +0800 CST
使用Vue3实现动画效果,包括简单的渐变动画和淡入淡出效果。通过示例代码,读者可以了解如何利用Vue3的组合式API和CSS动画提升用户体验
2024-11-18 22:44:37 +0800 CST
页面不存在404
2024-11-19 02:13:01 +0800 CST
一些实用的前端开发工具网站
2024-11-18 14:30:55 +0800 CST
Vue 3 中的 Fragments 是什么?
2024-11-17 17:05:46 +0800 CST
relext是一个强大的Python库,用于处理正则表达式相关任务
2024-11-19 09:50:03 +0800 CST
面试官:说一下你对Redis事务的理解?
2024-11-19 00:32:53 +0800 CST
Nginx 上传和超时时间限制(包括 PHP 上传限制)
2024-11-18 20:37:17 +0800 CST
使用 Vue3、Shadcn UI、Vite、TypeScript 和 Monorepo 构建的现代 vue 管理面板。 等多种 UI 的中后台系统框架
2024-11-18 18:53:38 +0800 CST
Python数据导出最牛逼工具:XlsxWriter,轻松生成Excel表格!
2024-11-18 23:55:48 +0800 CST
Go语言的并发编程,包括Mutex、RWMutex、WaitGroup和Channel等机制
2024-11-19 08:09:19 +0800 CST
如何结合Rust和Python构建高性能应用程序
2024-11-18 23:40:24 +0800 CST
收集了48个非常有用的JavaScript代码片段,帮助程序员快速理解常用的基础算法
2024-11-19 08:25:07 +0800 CST
2024年网站维护费用:一年需要多少钱?
2024-11-19 05:27:21 +0800 CST
Altair是一个基于Vega-Lite的声明式数据可视化库,适合数据科学家和分析师使用
2024-11-18 13:21:03 +0800 CST
markdown语法
2024-11-18 18:38:43 +0800 CST
在Vue3中使用Transition组件为DOM元素添加动画效果,以提升用户体验
2024-11-18 02:19:54 +0800 CST
用 Go 语言的 Fyne 库打造跨平台桌面应用程序
2024-11-17 18:55:51 +0800 CST
Vue 3 中实现文件上传功能,结合后端 API
2024-11-17 04:38:33 +0800 CST
PHP 的生成器,用过的都说好!
2024-11-18 04:43:02 +0800 CST
Excalidraw是一款流行的在线虚拟白板工具,以手绘风格的图形展示而闻名
2024-11-19 09:36:49 +0800 CST
如何在Vue3中使用音频库Howler.js实现音频播放?
2024-11-18 15:35:49 +0800 CST
Flet 构建跨平台应用的 Python 框架
2025-03-21 08:40:53 +0800 CST
Rust 并发执行异步操作
2024-11-19 08:16:42 +0800 CST
Rust 与 JVM 深度融合,构建高性能的应用程序
2024-11-19 03:02:54 +0800 CST
这是一个基于移动优先设计的简单HTML示例
2024-11-18 15:54:42 +0800 CST
JSON.stringify()的陷阱及其隐藏的秘密
2024-11-19 08:53:06 +0800 CST
纯 CSS 实现一个笔记本电脑的组装动画
2024-11-17 04:44:14 +0800 CST
Vue3中的v-slot指令有什么改变?
2024-11-18 07:32:50 +0800 CST
使用Vue3和WebSocket创建一个简单的实时聊天应用
2024-11-17 20:49:57 +0800 CST
38个实用的JavaScript技巧
2024-11-19 07:42:44 +0800 CST
php 统一接受回调的方案
2024-11-19 03:21:07 +0800 CST
jieba是一个广受欢迎的Python库,专门用于中文文本的分词处理
2024-11-18 18:18:43 +0800 CST
nuxt.js服务端渲染框架
2024-11-17 18:20:42 +0800 CST
如何在Vue3中实现天气预报应用,从API获取天气数据并展示
2024-11-18 21:45:29 +0800 CST
使用Node.js进行高性能的图片格式转换,重点推荐WebP格式以减小文件体积并提高加载速度
2024-11-18 15:50:54 +0800 CST
VibeBot,一个在Python中非常有用的库
2024-11-19 09:42:19 +0800 CST
Nginx 防止IP伪造,绕过IP限制
2025-01-15 09:44:42 +0800 CST
Vue3的虚拟DOM是如何提高性能的?
2024-11-18 22:12:20 +0800 CST
服务器推送技术及其在Spring中的实现,特别是SseEmitter的功能与用途
2024-11-19 06:14:07 +0800 CST
PySimpleGUI:一个非常实用但容易被忽视的宝藏Python库
2024-11-18 13:45:17 +0800 CST
XSS攻击是什么?
2024-11-19 02:10:07 +0800 CST
Elasticsearch 条件查询
2024-11-19 06:50:24 +0800 CST
goctl 技术系列 - Go 模板入门
2024-11-19 04:12:13 +0800 CST
Vue3中的Proxy相比Vue2中的Object.defineProperty有哪些优势?
2024-11-19 06:44:33 +0800 CST
Vue3从零开始构建一个简单的TodoList应用
2024-11-19 02:17:35 +0800 CST
Golang实现的交互Shell
2024-11-19 04:05:20 +0800 CST
IP地址获取函数
2024-11-19 00:03:29 +0800 CST
一文详解回调地狱
2024-11-19 05:05:31 +0800 CST
GSAP是一个高性能的JavaScript动画库
2024-11-19 02:18:10 +0800 CST
程序员茄子在线接单