JWT的学习(3)之解决JWT无法提前撤回的难题-创新互联

一.TWT的缺点

创新互联公司是一家专业提供彭阳企业网站建设,专注与成都网站制作、成都网站设计、H5网站设计、小程序制作等业务。10年已为彭阳众多企业、政府机构等服务。创新互联专业的建站公司优惠进行中。

JWT把用户信息保存到客户端,而不像Session那样在服务器端保存状态,因此更加适合分布式系统及前后端分离项目,但任何技术都不是完美的。缺点是一旦 JWT 被发放给客户端,在有效期内这个令牌就一直有效,令牌是无法被提前撤回的。哪些场景会需要在 JWT 过期之间提前撤回令牌呢?比如,用户被删除了,那么针对这个用户的令牌就要被撤回,否则会出现客户端使用已经被删除的用户身份的问题;再如,某个 JWT 被恶意攻击者拿到并用来发送恶意请求,我们也要撤回针对这个用户的令牌,以便阻断攻击者;再如,用户在 A设备上登录了,稍后又在B设备上登录了,我们就需要把用户在 A设备上登录获得的 JWT 撤回,否则就会出现用户同时在多个设备上登录的问题。

上面提到的这些需求其实用传统的Session 实现更合适,因为这些需求都是和“服务器端保持状态”相关的,而 JWT 是一种服务器端无状态的机制。如果既要用 JWT,又要解决过和服务器端保持状态相关的问题,显然是缘木求鱼。不过考虑到 JWT 已经成为现在新的事实上的标准,如果项目不能改为用传统 Session 机制的话,我们就仍然需要寻找JWT下的实现方式。网上有很多解决方案,比如用 Redis 保存状态,或者用 refresh_token+access_token 机制等。

我这是另一个解决方案,解决方案的思路是:在用户表中增加一个整数类型的列 JWTVersion,它代表最后 一 次发放出去的令牌的版本号;每次登录、发放令牌的时候,我们都让 JWTVersion 的值自增,

同时将 JWTVersion 的值也放到 JWT的负载中;当执行禁用用户、撤回用户的令牌等操作的时 候,我们让这个用户对应的JWTVersion 的值自增;当服务器端收到客户端提交的JWT后,先把JWT 中的 JWTVersion 值和数据库中的 JWTVersion 值做比较,如果JWT中JWTVersion的 值小于数据库中 JWTVersion 的值,就说明这个 JWT 过期了,这样我们就实现了 JWT 的撤回 机制。由于我们在用户表中保存了 JWTVersion 值,因此这种方案本质上仍然是在服务器端保 存状态,这是绕不过去的,只不过这种方案是一种缺点比较少的妥协方案。

二.JWT的实例

之前写的Identity项目

MyRole实体类

MyUser实体类

MyDbContext类

DemoController类

基于之前的代码做下边的项目

第一步:为用户实体User类增加一个 long类型的属性JWTVersion,并且执行数据库迁移,以便在数据库表中增加对应的列。

第二步:修改登录并发方令牌的代码,把用户的JWTVersion属性的值自增,并且把JWTVersion的值写入JWT令牌。

加进去自定义的令牌之所以后边加上//!!是为了取分这是在之前项目上后加的代码

第三步:编写一个操作筛选器,统一实现对所有的控制器的操作方法中JWT令牌的检查操作。

public class JWTValidationFilter : IAsyncActionFilter

{

private IMemoryCache memCache;

private UserManageruserMgr;

public JWTValidationFilter(IMemoryCache memCache, UserManageruserMgr)

{

this. memCache =memCache ;

this:aBerMgr=userMgr;

}

//自动生成的方法

public asyne Task OnActionExecutionAsync(ActionExecutingContext context, NetionExecutionDelegate next)

{

//如果取出的返回值为null,那么await next();的作用是把请求转给下一个筛选器

var claimUserId=context.HttpContext.User.Findfirst(ClaimTypos.NameIdentifi);

if (claimUserId==null)

{

await next();

return;

}

long userId = long.Parse(claimUserId!.Value);

//这4行代码的作用是把用户信息保存在内存缓存中

string cacheKey = $"JWTValidationFilter.UserInfo.(userId)";

User user = await memCache.GetOrCreateAsync(cacheKey, asyne e=>{

e.AbsoluteExpirationRelativeToNow = TimeSpan.FromSeconda(5);

return await userMgr.FindByIdAsync(userId.ToString());

});

//表示无法通过JWT提供的用户ID查找用户信息,就说明这个用户可能已经被删除了

if(user = null)

{

var result = new ObjectResultis($"UserId(userId)) not found")i;

result.StatusCode =(int)HttpStatuaCode.Unauthorized;

context.Result = result!;

return;

}

//表示我们从JWT负载中取到客户端保存的JWT版本号,如果发现个数据库中保存的JWT版本号不匹配,就说明这个令牌被回收了。

var claimVersion = context.HtEpContext.User.FindFirsti(ClaimTypes.Version);

long jwtVerOfReq = long.Parse(claimVersion!.Value) ;

if(jwtVerOfReq>=user.JWTVersion)

{

await next();

else

{

var result = new Objecthesultis($"JWTVersion miamatch");

result.StatusCode = (int)HttpStatusCode.Unauthorized;

context.Result = result;

return;

}

}

}

第四步.把JWTValidationFilter注册到Program.cs中MVC的全局筛选器中。

三.JWT和Session的比较

你是否还在寻找稳定的海外服务器提供商?创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源,准确流量调度确保服务器高可用性,企业级服务器适合批量采购,新人活动首月15元起,快前往官网查看详情吧


当前标题:JWT的学习(3)之解决JWT无法提前撤回的难题-创新互联
网页URL:http://azwzsj.com/article/doeedh.html