[SpringBoot]单点登录

关于单点登录

单点登录的基本实现思想:

  • 当客户端提交登录请求时,服务器端在验证登录成功后,将生成此用户对应的JWT数据,并响应到客户端

  • 客户端在后续的访问中,将自行携带JWT数据发起请求,通常,JWT数据会放在请求头的Authorization属性中

  • 在服务器端的任何服务都可以解析JWT数据,从而创建对应的Authentication对象,然后,将Authentication对象存入到SecurityContext中

目前,在之前[SpringBoot]Spring Security框架_万物更新_的博客-CSDN博客已经实现的代码有几个问题:  

  • 如何退出登录:客户端丢弃JWT即可

    • 服务器端如何保证客户端真的丢弃了JWT?

  • 如果第三方盗用了JWT如何处理

  • 目前的代码中,将管理员的权限列表存储在JWT中,导致JWT数据太长,并且,权限数据应该视为敏感数据,不应该表现在JWT中

 以上问题都可以结合Redis的应用来解决!解决方案如下:

 退出登录的问题:

  • 【推荐】【解决方案1】当验证登录成功后,将JWT存入到Redis中,在处理JWT数据的过滤器(JwtAuthorizationFilter)中,首先检查Redis中的信息,如果此JWT在Redis中存在(例如白名单),则视为有效,所以,当退出登录时,只需要在Redis中将对应的JWT删除即可

  • 【解决方案2】当退出登录时,将JWT存入到Redis中,在处理JWT数据的过滤器(JwtAuthorizationFilter)中,首先检查Redis中的信息,如果此JWT在Redis中的“黑名单”中,则视为无效

 盗用JWT的问题:

  • 【判断标准】以“IP地址相同或设备信息相同”为真正用户的判断标准,即:如果IP地址与登录时不同,且设备信息与登录时的也不同,则视为“盗用”!

  • 【实现手段】当用户提交登录请求时,就需要获取用户的IP地址与设备信息,当验证登录通过后,将此用户的JWT、IP地址、设备信息全部存入到Redis中,后续,当客户端提交请求后,在JwtAuthorizationFilter中,根据客户端请求中携带的JWT,检查此次请求时的IP、设备信息与此前在Redis中存入的是否相同,如果两者均不同,则视为“盗用”。

 携带权限列表的问题:

  • 不再将权限列表保存在JWT数据中,而是存在Redis中

 所以,基于以上分析,在处理单点登录时,Redis中的数据大概是:

KeyValue
用户1的JWT用户1的登录时IP地址、设备信息、权限列表
用户2的JWT用户2的登录时IP地址、设备信息、权限列表

基于以上做法,还可以更加【实时的】、有效的管理用户信息,例如将用户的启用状态也存入到Redis中,每次请求时都需要检查!同时,当用户的启用状态发生变化时,更新Redis中的数据!  

 关于以上问题的具体解决方案:

  • 接收客户端的登录请求时,需要获取客户端的IP地址和设备信息(浏览器信息),例如:

 AdminController.java

 remoteAddr就是它的ip地址,userAgent就是浏览器的设备信息,然后传入service里面去。

  • 当验证登录通过后,将JWT作为Key,把相关信息(IP地址、浏览器信息、用户的权限列表、用户的启用状态等)作为值,存入到Redis中,并且,JWT中不再包含权限列表

AdminServiceImpl.java

以上jwt调整为只存入 id和用户名。

 

 以上往redis里面去存,专门准备了一个AdminLoginInfoPO对象:
 


/*** 管理员登录信息的存储对象,主要用于写入到Redis中** @author java@tedu.cn* @version 0.0.1*/
@Data
public class AdminLoginInfoPO implements Serializable {/*** 管理员ID*/private Long id;/*** 管理员的启用状态*/private Integer enable;/*** 管理员登录时的IP地址*/private String remoteAddr;/*** 管理员登录时的浏览器版本*/private String userAgent;/*** 管理员的权限列表的JSON字符串*/private String authorityListJsonString;}

 时长是存入redis里面的有效时长。
 

  • JwtAuthorizationFilter中,当接收到JWT后,基于此JWT从Redis中获取信息,如果获取不到有效信息,则此JWT视为无效的,当可以获取到相关信息时,检查此用户的状态,检查IP地址、浏览器信息,最终,生成Authentication时,权限也是来自Redis中读取到的数据:  

 


回头其他的管理员把这个号禁用了,redis里面就因该把它改为0,所以以下对它做一个检查,如果==0就是被禁用了,从而去响应信息:

 

最后以前的权限信息是从解析jwt来得,调整为从redis获取对象,解析得到authorities得到权限列表,这个权限信息就用于去创建认证信息,最后放在jwt里面

  •  关于退出登录:

 以上通过@RequestHeader注解就得到jwt了,这个注解表示数据是来自请求头的。

 以上把jwt删了,后续就是一个不认的状态了,退出登录就处理好了。

 

  • 关于jwt过期的问题, 在上面的代码中,我们对jwt设置了过期的,如果这个jwt过期了,因该怎么办?比如用户还在逛某宝,是在没用的时候过期了去登录,是合理的,如果在逛的时候过期了需要登录,就不合理。
    •  解决办法是,在解析jwt的时候是能得到剩余有效期的,以下可以看出jwt包含过期时间,所以我们可以制定一个标准,临近过期时间就给它续上。
       

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/1299.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

NDK编译系列:手机终端运行可执行文件的方法

NDK编译系列:手机终端运行可执行文件的方法 前言总体流程补充说明 前言 该方式为PC上的NDK工具生成的可执行文件和库,利用adb导入到手机(未采用Andriod Studio生成带界面的apk文件),直接通过windows的命令窗在安卓原生…

一篇搞懂steam/csgo搬砖原理

接触csgo游戏搬砖项目三年了,也有在别的论坛交流心得。让我无语的是有些已经游戏搬砖差不多半年,却还告诉我没有赚到钱,又或者说时常到可出售的时候利润少的可怕,总是说这个行业说水太深了!那么请你告诉我,…

快快快快快快快快快快排

作者简介:დ旧言~,目前大一,现在学习Java,c,Python等 座右铭:松树千年终是朽,槿花一日自为荣。 望小伙伴们点赞👍收藏✨加关注哟💕💕 C语言实现快排☺️ ℹ️…

Python爬虫学习笔记(六)————BeautifulSoup(bs4)解析

目录 1.bs4基本简介 (1)BeautifulSoup简称 (2)什么是BeatifulSoup? (3)优缺点 2.bs4安装以及创建 (1)安装 (2)导入 &am…

一个月学通Python(十二):Python发送电子邮件及图像办公文档处理

专栏介绍 结合自身经验和内部资料总结的Python教程,每天3章,1个月就能全方位的完成Python的学习并进行实战开发。加油吧!卷起来! 全部文章请访问专栏:《Python全栈教程(0基础》 文章目录 专栏介绍网络应用开发发送电子邮件发送短信图像和办公文档处理操作图像计算机图像…

Ceph 块存储系统 RBD 接口

-创建 Ceph 块存储系统 RBD 接口- 1、创建一个名为 rbd-demo 的专门用于 RBD 的存储池 ceph osd pool create rbd-demo 64 642、将存储池转换为 RBD 模式 ceph osd pool application enable rbd-demo rbd3、初始化存储池 rbd pool init -p rbd-demo # -p 等同于 --pool4、…

jenkins手把手教你从入门到放弃01-jenkins简介(详解)

一、简介 jenkins是一个可扩展的持续集成引擎。持续集成,也就是通常所说的CI(Continues Integration),可以说是现代软件技术开发的基础。持续集成是一种软件开发实践, 即团队开发成员经常集成他们的工作,通…

STM32 Proteus仿真LCD12864火灾检测烟雾火焰温度报警器MQ2 -0064

STM32 Proteus仿真LCD12864火灾检测烟雾火焰温度报警器MQ2 -0064 Proteus仿真小实验: STM32 Proteus仿真LCD12864火灾检测烟雾火焰温度报警器MQ2 -0064 功能: 硬件组成:STM32F103R6单片机 LCD12864 液晶显示DS18B20 温度传感器多个按键电位…

【LangChain】概要(Summarization)

LangChain学习文档 流行 【LangChain】Retrieval QA【LangChain】对话式问答(Conversational Retrieval QA)【LangChain】SQL【LangChain】概要(Summarization) 概要 summarization chain可用于汇总多个文档。一种方法是输入多个较小的文档,将它们分为块后&#…

单例模式:懒汉式和饿汉式

目录 懒汉模式和饿汉模式 区别 示例 懒汉模式线程不安全 懒汉模式线程安全 懒汉模式内部静态变量线程安全 饿汉式线程安全 指的是在系统生命周期内,只产生一个实例。 懒汉模式和饿汉模式 分为懒汉式和饿汉式 区别 创建时机和线程安全 线程安全&#xff1…

高时空分辨率、高精度一体化预测技术的风、光、水自动化预测技术的应用

第一章 预测平台讲解及安装 一、高精度气象预测基础理论介绍 综合气象观测数值模拟模式; 全球预测模式、中尺度数值模式; 二、自动化预测平台介绍 Linux系统 Crontab定时任务执行机制 Bash脚本自动化编程 硬件需求简介 软件系统安装 …

分享一个加载按钮动画

先看效果&#xff1a; 再看代码&#xff1a; <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>加载动画按钮</title><script src"https://cdnjs.cloudflare.com/ajax/libs/animejs/3.2…

flutter开发实战-卡片翻转动画效果Transform+IndexedStack+rotateAnimation

flutter开发实战-实现卡片翻转动画效果 之前开发中遇到了商品卡片翻转&#xff0c;商品正面是商品图片、商品名称&#xff1b;背面是商品价格&#xff0c;需要做卡片翻转动画。 动画实现即&#xff1a;在一段时间内&#xff0c;快速地多次改变UI外观&#xff1b;由于人眼会产生…

FL Studio是什么软件?FL Studio2023最新更新内容

FL Studio是什么软件 FL Studio是由比利时软件公司Image-Line开发的音乐制作软件&#xff0c;它拥有丰富的音效、合成器、采样器、鼓机等工具。FL Studio支持多种音频文件格式&#xff0c;包括MIDI、MP3、WAV、OGG等&#xff0c;可以帮助用户自由地进行音乐创作。 FL Studio界…

如何有效利用chatgpt?

如何有效地使用ChatGPT&#xff1f; 代码、诗歌、歌曲和短篇小说都可以由 ChatGPT 以特定的风格编写。您所需要的只是正确的问题和适当的提示。以下是有关如何有效使用ChatGPT的一些提示和想法&#xff1a; 头脑 风暴获取初稿解决编码问题尝试不同的提示格式查找标题寻求帮助…

Android 内存泄漏的常见原因及其对应的解决方案

Android 内存泄漏 Android应用程序中常见的内存泄漏原因有很多&#xff0c;以下是一些常见的原因及对应的解决方案&#xff1a; 1. 静态引用导致的内存泄漏&#xff1a; 静态变量持有对Activity或Fragment的引用&#xff0c;导致它们无法被垃圾回收机制释放。 解决方案&…

rk3588+视频采集(mpp硬编码H.265)

rk3588+视频采集(mpp硬编码H.265) mpp硬编码 mpp硬编码可以压缩500倍左右,详细代码见该专栏文章《MPP硬编码H265(500倍压缩)》; 视频采集 本案例是通过opencv+定时器(需按照FPS刷新)获取frame; 自定义一个counter计数,保存counter个帧; 当需要保存一个视频时: 可…

DASCTF密码第一题,bbcrypto

貌似叫这个名字。 # -*- coding:utf-8 -*- import A,SALT from itertools import *def encrypt(m, a, si):c""for i in range(len(m)):chex(((ord(m[i])) * a ord(next(si))) % 128)[2:].zfill(2)return c if __name__ "__main__":m flag{************…

随手笔记——实现去畸变部分的代码

随手笔记——实现去畸变部分的代码 说明关键代码 说明 本程序实现去畸变部分的代码。尽管我们可以调用OpenCV的去畸变&#xff0c;但自己实现一遍有助于理解。 关键代码 // 本程序实现去畸变部分的代码。尽管我们可以调用OpenCV的去畸变&#xff0c;但自己实现一遍有助于理解…

WordPress作为可扩展的企业级解决方案

网络商业世界就像一片汪洋大海&#xff0c;大型企业是大海中最大的鱼。然而&#xff0c;只因为你比其他人都大&#xff0c;并不意味着你不能逆流而上。相反&#xff0c;企业业务面临的挑战更大&#xff0c;对网站的技术要求更高。 多年来&#xff0c;大型公司通常依赖最昂贵的…