SpringSecurity 退出登录使JWT失效的解决方案

太过爱你忘了你带给我的痛 2022-12-10 15:56 1391阅读 0赞

### 文章目录 ###

*   *  一、将Jwt Token存入Redis中
     *  二、实现JwtClaimsSetVerifier，验证Jwt Token是否有效
     *  三、实现JwtTokenStore的removeAccessToken方法，退出后使原令牌失效

项目引入了JWT，在实现退出功能的时候，发现即使调用了相关接口废弃令牌，但是令牌仍然可以使用。查看原码才知道，使用的JwtTokenStore的removeAccessToken是个空方法。

查了下资料，看到以下这段话。

> 其实要完美地失效JWT是没办法做到的。  
> “Actually, JWT serves a different purpose than a session and it is not possible to forcefully delete or invalidate an existing token.”  
> 有以下几个方法可以做到失效 JWT token：  
> 1、将 token 存入 DB（如 Redis）中，失效则删除；但增加了一个每次校验时候都要先从 DB 中查询 token 是否存在的步骤，而且违背了 JWT 的无状态原则（这不就和 session 一样了么？）。  
> 2、维护一个 token 黑名单，失效则加入黑名单中。  
> 3、在 JWT 中增加一个版本号字段，失效则改变该版本号。  
> 4、在服务端设置加密的 key 时，为每个用户生成唯一的 key，失效则改变该 key。

最后决定使用Redis建立一个白名单，大体思路如下：

*  1、生成Jwt的时候，将Jwt Token存入redis中
 *  2、扩展Jwt的验证功能，验证redis中是否存在数据，如果存在则token有效，否则无效
 *  3、实现removeAccessToken功能，在该方法内删除redis对应的key。

## 一、将Jwt Token存入Redis中 ##

项目中使用的TokenStore为JwtTokenStore，JwtTokenStore的storeAccessToken是个空方法，我实现了方法，在该方法将token存入redis中，代码如下：

## 二、实现JwtClaimsSetVerifier，验证Jwt Token是否有效 ##

实现JwtClaimsSetVerifier，在verify方法中验证Redis中Jwt Token是否过期，代码如下：

public class RedisJwtClaimsSetVerifier implements JwtClaimsSetVerifier {
      ......
      省略部分代码
      ......
      /**
       * 检查jti是否在Redis中存在（即是否过期），如过期则抛异常
       */
      @Override
      public void verify(Map<String, Object> claims) throws InvalidTokenException {
        if (claims.containsKey("jti")) {
          String jti = claims.get("jti").toString();
          Object value = redisTemplate.opsForValue().get(jti);
          if (value == null) {
            throw new InvalidTokenException("无效的令牌");
          }
        }
      }

## 三、实现JwtTokenStore的removeAccessToken方法，退出后使原令牌失效 ##

客户端退出时，删除客户端存储的token,并调用服务器的接口删除服务器上存储的令牌，删除令牌最终调用的是tokenStore.removeAccessToken方法，所以只要实现该方法，就能达到删除令牌的效果，实现代码如下：

@Bean
      public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter()) {
          @Override
          public void storeAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) {
            //添加Jwt Token白名单,将Jwt以jti为Key存入redis中，并保持与原Jwt有一致的时效性
            if (token.getAdditionalInformation().containsKey("jti")) {
              String jti = token.getAdditionalInformation().get("jti").toString();
              redisTemplate.opsForValue().set(jti, token.getValue(), token.getExpiresIn(), TimeUnit.SECONDS);
            }
            super.storeAccessToken(token, authentication);
          }
    
          @Override
          public void removeAccessToken(OAuth2AccessToken token) {
            if (token.getAdditionalInformation().containsKey("jti")) {
              String jti = token.getAdditionalInformation().get("jti").toString();
              redisTemplate.delete(jti);
            }
            super.removeAccessToken(token);
          }
        };
      }