spring security结合jwt实现用户重复登录处理
更新时间:2022年03月24日 16:20:28 作者:小石头的掘金
本文主要介绍了spring security结合jwt实现用户重复登录处理,文中通过示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
背景
近日,客户针对我司系统做一些列漏洞扫描,最后总结通用漏洞有如下:
- 用户重复登录
- 接口未授权
- 接口越权访问
针对以上漏洞,分三篇文章分别记录解决方案,供后续回忆学习,本文先处理用户重复登录漏洞
方案
系统采用spring boot搭建,spring security+ jwt 作为安全框架
- 用户登录成功 生成token给到用户, 同时存储到redis中(key值为用户名(标识)) value为生成的token
- 用户再次访问系统请求参数中带有token信息 后台通过过滤器进行拦截进行比对
- 如果token匹配成功 就放行 匹配不成功 说明两个token不一致 开始比对对应的时间戳 后者时间戳 大于前者就把当前token覆盖(如果旧的token请求再次进来 期时间戳就晚于当前redis中的token时间(token已经更新)判断其为被踢出的用户提示重新登录)
思路图
核心代码
- 配置过滤器
- 过滤器实现
RepeatLoginFilter.java
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
String jwt = resolveToken(request);
//重复登录只校验带有合法jwt的 放过验证码以及免鉴权的那些请求
if (null == jwt || "null".equalsIgnoreCase(jwt) || !this.tokenProvider.validateToken(jwt)) {
filterChain.doFilter(request, response);
return;
}
if (isAccessAllowed(jwt)) {
filterChain.doFilter(request, response);
return;
}
// 账号重复登录,跳转登录页面 logout
logout(response);
}
/**
* 重复登录核心校验
* @param token 当前token
* @return true通过放行
*/
private boolean isAccessAllowed(String token) {
Authentication authentication = this.tokenProvider.getAuthentication(token);
String redisToken = redisTemplate.opsForValue().get(Constants.PREFIX_LOGIN_USER+authentication.getName());
//redisToken为空 说明第一次登陆 放过并加入redis
if(!StringUtils.hasLength(redisToken)){
redisTemplate.opsForValue().set(Constants.PREFIX_LOGIN_USER+authentication.getName(),token,
86400, TimeUnit.SECONDS);
return true;
}
//redis token和当前token一致 说明是当前登陆用户访问 放过
if(token.equals(redisToken)){
return true;
}
//redis token和当前token不一致,比较两个token的创建时间,如果当前token大于redistoken 就说当前是最新的,放入redis并放过
//否则就说明redis里已有最新的token,当前token应该过期,不放行
Date date = this.tokenProvider.getIssueAt(token);
Date redisDate = this.tokenProvider.getIssueAt(redisToken);
if(date.after(redisDate)){
redisTemplate.opsForValue().set(Constants.PREFIX_LOGIN_USER+authentication.getName(),token,
86400, TimeUnit.SECONDS);
return true;
}else{
return false;
}
}
/**
* 获取jwt
/
private String resolveToken(HttpServletRequest request) {
String bearerToken = request.getHeader("Authorization");
if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
return bearerToken.substring(7);
}
return null;
}
/**
* 返回退出信息到前台
* @param response
*/
private void logout(HttpServletResponse response){
response.setStatus(HttpStatus.FORBIDDEN.value());
response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
try {
JSONObject resultObj = new JSONObject();
resultObj.putOnce("data","账号已在别的地方登录,请重新登录");
response.getWriter().print(resultObj.toString());
} catch (IOException e) {
e.printStackTrace();
}
}到此这篇关于spring security结合jwt实现用户重复登录处理的文章就介绍到这了,更多相关spring security jwt重复登录内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
项目中我们经常会遇到多数据源的问题,尤其是数据同步或定时任务等项目更是如此。本篇文章主要介绍了spring多数据源配置,有兴趣的可以了解一下。2017-01-01
IntelliJ IDEA 如果不进行相关设置,可能会导致控制台中文乱码、配置文件中文乱码等问题,本文主要介绍了IDEA控制台中文乱码4种解决方案,具有一定的参考价值,感兴趣的可以了解一下2024-07-07
这篇文章主要介绍了Netty框架实现TCP/IP通信,这里使用的是Springboot+Netty框架,使用maven搭建项目,需要的朋友可以参考下2021-07-07
这篇文章主要为大家详细介绍了Java语言实现map转换成json的几种方法,文中的示例代码讲解详细,对我们学习Java有一定帮助,需要的可以参考一下2022-05-05
eclipse下整合springboot和mybatis的方法步骤
这篇文章主要介绍了eclipse下整合springboot和mybatis的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2019-03-03
java通过ip获取客户端Mac地址的小例子,需要的朋友可以参考一下2013-03-03
启动SpringBoot项目其实就是启动Tomcat等服务容器,只要这个端口不同就能启动多个服务实例了,本文主要介绍了idea启动多个SpringBoot服务实例的最优解决方法,感兴趣的可以了解一下2024-05-05
这篇文章主要为大家详细介绍了如何实现nacos的配置的热更新,文中的示例代码讲解详细,具有一定的借鉴价值,感兴趣的小伙伴可以跟随小编一起学习一下2023-12-12
Springboot整合分页插件PageHelper步骤解析
这篇文章主要介绍了Springboot整合分页插件PageHelper步骤解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2020-06-06
SpringBoot项目打包成war包并部署在tomcat上运行的操作步骤
我们开发 SpringBoot 项目有时我们会需要打包成 war 包,放入外置的 Tomcat 中进行运行,或者使用工具idea直接启动,便于开发调试,本文给大家分享SpringBoot项目打包成war包并部署在tomcat上运行的操作步骤,感兴趣的朋友一起看看吧2024-03-03
最新评论