好得很程序员自学网

<tfoot draggable='sEl'></tfoot>

spring security结合jwt实现用户重复登录处理

背景

近日,客户针对我司系统做一些列漏洞扫描,最后总结通用漏洞有如下:

用户重复登录 接口未授权 接口越权访问

针对以上漏洞,分三篇文章分别记录解决方案,供后续回忆学习,本文先处理用户重复登录漏洞

方案

系统采用spring boot搭建,spring security+ jwt 作为安全框架

用户登录成功 生成token给到用户, 同时存储到redis中(key值为用户名(标识)) value为生成的token 用户再次访问系统请求参数中带有token信息 后台通过过滤器进行拦截进行比对 如果token匹配成功 就放行 匹配不成功 说明两个token不一致 开始比对对应的时间戳 后者时间戳 大于前者就把当前token覆盖(如果旧的token请求再次进来 期时间戳就晚于当前redis中的token时间(token已经更新)判断其为被踢出的用户提示重新登录)

思路图

核心代码

配置过滤器

过滤器实现

RepeatLoginFilter.java

?

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

@Override

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

     String jwt = resolveToken(request);

     //重复登录只校验带有合法jwt的  放过验证码以及免鉴权的那些请求

     if ( null == jwt || "null" .equalsIgnoreCase(jwt) || ! this .tokenProvider.validateToken(jwt)) {

         filterChain.doFilter(request, response);

         return ;

     }

 

     if (isAccessAllowed(jwt)) {

         filterChain.doFilter(request, response);

         return ;

     }

 

     // 账号重复登录,跳转登录页面 logout

     logout(response);

}

 

/**

  * 重复登录核心校验

  * @param token 当前token

  * @return true通过放行

  */

private boolean isAccessAllowed(String token) {

     Authentication authentication = this .tokenProvider.getAuthentication(token);

     String redisToken = redisTemplate.opsForValue().get(Constants.PREFIX_LOGIN_USER+authentication.getName());

     //redisToken为空 说明第一次登陆 放过并加入redis

     if (!StringUtils.hasLength(redisToken)){

         redisTemplate.opsForValue().set(Constants.PREFIX_LOGIN_USER+authentication.getName(),token,

           86400 , TimeUnit.SECONDS);

         return true ;

     }

     //redis token和当前token一致  说明是当前登陆用户访问  放过

     if (token.equals(redisToken)){

         return true ;

     }

     //redis token和当前token不一致,比较两个token的创建时间,如果当前token大于redistoken 就说当前是最新的,放入redis并放过

     //否则就说明redis里已有最新的token,当前token应该过期,不放行

     Date date = this .tokenProvider.getIssueAt(token);

     Date redisDate = this .tokenProvider.getIssueAt(redisToken);

     if (date.after(redisDate)){

         redisTemplate.opsForValue().set(Constants.PREFIX_LOGIN_USER+authentication.getName(),token,

           86400 , TimeUnit.SECONDS);

         return true ;

     } else {

         return false ;

     }

 

}

 

/**

* 获取jwt

/

private String resolveToken(HttpServletRequest request) {

     String bearerToken = request.getHeader("Authorization");

     if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {

         return bearerToken.substring(7);

     }

     return null;

}

 

/**

  * 返回退出信息到前台

  * @param response

  */

private void logout(HttpServletResponse response){

     response.setStatus(HttpStatus.FORBIDDEN.value());

     response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);

     try {

         JSONObject resultObj = new JSONObject();

         resultObj.putOnce( "data" , "账号已在别的地方登录,请重新登录" );

         response.getWriter().print(resultObj.toString());

     } catch (IOException e) {

         e.printStackTrace();

     }

}

到此这篇关于spring security结合jwt实现用户重复登录处理的文章就介绍到这了,更多相关spring security jwt重复登录内容请搜索以前的文章或继续浏览下面的相关文章希望大家以后多多支持!

原文链接:https://juejin.cn/post/7070114771902660644

查看更多关于spring security结合jwt实现用户重复登录处理的详细内容...

声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did193981
  阅读:38次

上一篇: SpringBoot+BootStrap多文件上传到本地实例

下一篇:Java 9 中的模块Module系统