[英]JWT authentication: How to implement logout?
我为 Spring boot 应用程序实现了 JWT 身份验证。 总的来说,它是这样工作的:
问题是,我们应该如何实现注销?
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Date;
class TokenAuthenticationService {
static final long EXPIRATIONTIME = 864_000_000; // 10 days
static final String SECRET = "ThisIsASecret";
static final String TOKEN_PREFIX = "Bearer";
static final String HEADER_STRING = "Authorization";
static void addAuthentication(HttpServletResponse res, String username) {
String JWT = Jwts
.builder()
.setSubject(username)
.setExpiration(
new Date(System.currentTimeMillis() + EXPIRATIONTIME))
.signWith(SignatureAlgorithm.HS512, SECRET).compact();
res.addHeader(HEADER_STRING, TOKEN_PREFIX + " " + JWT);
}
static Authentication getAuthentication(HttpServletRequest request, UserDetailsService customUserDetailsService) {
String token = request.getHeader(HEADER_STRING);
if (token != null) {
// parse the token.
Claims claims = Jwts.parser().setSigningKey(SECRET)
.parseClaimsJws(token.replace(TOKEN_PREFIX, "")).getBody();
String userName = claims.getSubject();
Date expirationTime = claims.getExpiration();
if (expirationTime.compareTo(new Date()) < 0) {
return null;
}
UserDetails user = customUserDetailsService.loadUserByUsername(userName);
return user != null ? new UsernamePasswordAuthenticationToken(user.getUsername(),
user.getPassword(), user.getAuthorities()) : null;
}
return null;
}
}
addAuthentication
类使用JWTLoginFilter
来在登录时发送身份验证代码,JWTAuthenticationFilter is used by the
“getAuthentication is used by the
来过滤对端点的所有请求。
这里的最佳做法是什么?
我认为这里没有最佳实践。 我想这取决于您正在构建的应用程序及其要求。
JWT 的好处是它们是无状态的。 您不需要查询数据库来验证令牌。 当您希望减少数据库的负载时,这很好,但当您想让现有的未过期令牌无效时,这很糟糕。
可能的解决方案:
我不知道什么是最佳实践,但在我见过内部结构的系统中,有一个中央身份验证管理器知道所有当前有效的身份验证令牌,因此注销只需从有效令牌集合中删除令牌.
因此,下次向身份验证管理器询问令牌是否有效时,它将以“否”作为响应。
1)只需从客户端删除令牌
2)创建令牌黑名单
3)保持令牌到期时间短并经常轮换它们
请查看 Invalidating JSON Web Tokens Invalidating JSON Web Tokens
如果令牌保存在 localStorage 中:
localStorage.removeItem('token');
在服务器中,如果 jwt 在会话中:
req.session = null;
如果你想清除你设置的cookie
req.session.destroy((err) => { //express-session
res.clearCookie("qid"); //qid is the cookie name
}
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.