[SpringBoot]单点登录

这篇具有很好参考价值的文章主要介绍了[SpringBoot]单点登录。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

关于单点登录

单点登录的基本实现思想:

  • 当客户端提交登录请求时,服务器端在验证登录成功后,将生成此用户对应的JWT数据,并响应到客户端

  • 客户端在后续的访问中,将自行携带JWT数据发起请求,通常,JWT数据会放在请求头的Authorization属性中

  • 在服务器端的任何服务都可以解析JWT数据,从而创建对应的Authentication对象,然后,将Authentication对象存入到SecurityContext中

目前,在之前[SpringBoot]Spring Security框架_万物更新_的博客-CSDN博客已经实现的代码有几个问题:  

  • 如何退出登录:客户端丢弃JWT即可

    • 服务器端如何保证客户端真的丢弃了JWT?

  • 如果第三方盗用了JWT如何处理

  • 目前的代码中,将管理员的权限列表存储在JWT中,导致JWT数据太长,并且,权限数据应该视为敏感数据,不应该表现在JWT中

 以上问题都可以结合Redis的应用来解决!解决方案如下:

 退出登录的问题:

  • 【推荐】【解决方案1】当验证登录成功后,将JWT存入到Redis中,在处理JWT数据的过滤器(JwtAuthorizationFilter)中,首先检查Redis中的信息,如果此JWT在Redis中存在(例如白名单),则视为有效,所以,当退出登录时,只需要在Redis中将对应的JWT删除即可

  • 【解决方案2】当退出登录时,将JWT存入到Redis中,在处理JWT数据的过滤器(JwtAuthorizationFilter)中,首先检查Redis中的信息,如果此JWT在Redis中的“黑名单”中,则视为无效

 盗用JWT的问题:

  • 【判断标准】以“IP地址相同或设备信息相同”为真正用户的判断标准,即:如果IP地址与登录时不同,且设备信息与登录时的也不同,则视为“盗用”!

  • 【实现手段】当用户提交登录请求时,就需要获取用户的IP地址与设备信息,当验证登录通过后,将此用户的JWT、IP地址、设备信息全部存入到Redis中,后续,当客户端提交请求后,在JwtAuthorizationFilter中,根据客户端请求中携带的JWT,检查此次请求时的IP、设备信息与此前在Redis中存入的是否相同,如果两者均不同,则视为“盗用”。

 携带权限列表的问题:

  • 不再将权限列表保存在JWT数据中,而是存在Redis中

 所以,基于以上分析,在处理单点登录时,Redis中的数据大概是:

Key Value
用户1的JWT 用户1的登录时IP地址、设备信息、权限列表
用户2的JWT 用户2的登录时IP地址、设备信息、权限列表

基于以上做法,还可以更加【实时的】、有效的管理用户信息,例如将用户的启用状态也存入到Redis中,每次请求时都需要检查!同时,当用户的启用状态发生变化时,更新Redis中的数据!  

 关于以上问题的具体解决方案:

  • 接收客户端的登录请求时,需要获取客户端的IP地址和设备信息(浏览器信息),例如:

 AdminController.java

[SpringBoot]单点登录,spring boot,java,后端

 remoteAddr就是它的ip地址,userAgent就是浏览器的设备信息,然后传入service里面去。

  • 当验证登录通过后,将JWT作为Key,把相关信息(IP地址、浏览器信息、用户的权限列表、用户的启用状态等)作为值,存入到Redis中,并且,JWT中不再包含权限列表

AdminServiceImpl.java

[SpringBoot]单点登录,spring boot,java,后端

以上jwt调整为只存入 id和用户名。

 [SpringBoot]单点登录,spring boot,java,后端

 以上往redis里面去存,专门准备了一个AdminLoginInfoPO对象:
 


/**
 * 管理员登录信息的存储对象,主要用于写入到Redis中
 *
 * @author java@tedu.cn
 * @version 0.0.1
 */
@Data
public class AdminLoginInfoPO implements Serializable {

    /**
     * 管理员ID
     */
    private Long id;

    /**
     * 管理员的启用状态
     */
    private Integer enable;

    /**
     * 管理员登录时的IP地址
     */
    private String remoteAddr;

    /**
     * 管理员登录时的浏览器版本
     */
    private String userAgent;

    /**
     * 管理员的权限列表的JSON字符串
     */
    private String authorityListJsonString;

}

[SpringBoot]单点登录,spring boot,java,后端

 时长是存入redis里面的有效时长。
 

  • JwtAuthorizationFilter中,当接收到JWT后,基于此JWT从Redis中获取信息,如果获取不到有效信息,则此JWT视为无效的,当可以获取到相关信息时,检查此用户的状态,检查IP地址、浏览器信息,最终,生成Authentication时,权限也是来自Redis中读取到的数据:  

[SpringBoot]单点登录,spring boot,java,后端

  • [SpringBoot]单点登录,spring boot,java,后端

 文章来源地址https://www.toymoban.com/news/detail-522494.html


[SpringBoot]单点登录,spring boot,java,后端

回头其他的管理员把这个号禁用了,redis里面就因该把它改为0,所以以下对它做一个检查,如果==0就是被禁用了,从而去响应信息:

[SpringBoot]单点登录,spring boot,java,后端

 

最后以前的权限信息是从解析jwt来得,调整为从redis获取对象,解析得到authorities得到权限列表,这个权限信息就用于去创建认证信息,最后放在jwt里面

[SpringBoot]单点登录,spring boot,java,后端

  •  关于退出登录:

[SpringBoot]单点登录,spring boot,java,后端

 以上通过@RequestHeader注解就得到jwt了,这个注解表示数据是来自请求头的。

[SpringBoot]单点登录,spring boot,java,后端

 以上把jwt删了,后续就是一个不认的状态了,退出登录就处理好了。

 

  • 关于jwt过期的问题, 在上面的代码中,我们对jwt设置了过期的,如果这个jwt过期了,因该怎么办?比如用户还在逛某宝,是在没用的时候过期了去登录,是合理的,如果在逛的时候过期了需要登录,就不合理。
    •  解决办法是,在解析jwt的时候是能得到剩余有效期的,以下可以看出jwt包含过期时间,所以我们可以制定一个标准,临近过期时间就给它续上。
       

[SpringBoot]单点登录,spring boot,java,后端

 

 

到了这里,关于[SpringBoot]单点登录的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • SpringBoot + Vue前后端分离项目实战 || 三:Spring Boot后端与Vue前端连接

    系列文章: SpringBoot + Vue前后端分离项目实战 || 一:Vue前端设计 SpringBoot + Vue前后端分离项目实战 || 二:Spring Boot后端与数据库连接 SpringBoot + Vue前后端分离项目实战 || 三:Spring Boot后端与Vue前端连接 SpringBoot + Vue前后端分离项目实战 || 四:用户管理功能实现 SpringBoot + Vue前后

    2024年02月12日
    浏览(66)
  • Java项目实战笔记--基于SpringBoot3.0开发仿12306高并发售票系统--(二)项目实现-第二篇-前端模块搭建及单点登录的实现

    本文参考自 Springboot3+微服务实战12306高性能售票系统 - 慕课网 (imooc.com) 本文是仿12306项目实战第(二)章——项目实现 的第二篇,详细讲解使用Vue3 + Vue CLI 实现前端模块搭建的过程,同时其中也会涉及一些前后端交互的实现,因此也会开发一些后端接口;搭建好前端页面后,

    2024年03月26日
    浏览(56)
  • SpringBoot + Vue前后端分离项目实战 || 二:Spring Boot后端与数据库连接

    系列文章: SpringBoot + Vue前后端分离项目实战 || 一:Vue前端设计 SpringBoot + Vue前后端分离项目实战 || 二:Spring Boot后端与数据库连接 SpringBoot + Vue前后端分离项目实战 || 三:Spring Boot后端与Vue前端连接 SpringBoot + Vue前后端分离项目实战 || 四:用户管理功能实现 SpringBoot + Vue前后

    2024年02月11日
    浏览(61)
  • [SpringBoot]单点登录

    单点登录的基本实现思想: 当客户端提交登录请求时,服务器端在验证登录成功后,将生成此用户对应的JWT数据,并响应到客户端 客户端在后续的访问中,将自行携带JWT数据发起请求,通常,JWT数据会放在请求头的Authorization属性中 在服务器端的任何服务都可以解析JWT数据,

    2024年02月12日
    浏览(32)
  • “从零开始学习Spring Boot:快速搭建Java后端开发环境“

    标题:从零开始学习Spring Boot:快速搭建Java后端开发环境 摘要:本文将介绍如何从零开始学习Spring Boot,并详细讲解如何快速搭建Java后端开发环境。通过本文的指导,您将能够快速搭建一个基于Spring Boot的Java后端开发环境并开始编写代码。 正文: 一、准备工作 在开始之前,

    2024年02月15日
    浏览(55)
  • spring security单点登录跳过密码验证

    第一种方案:通过框架密码验证 考虑去掉BCryptPasswordEncoder的配置,直接明文校验, 配置CustomPasswordEncoder 在单点登录验证方法中,先使用用户名查询到数据库中存储的全部用户信息,使查询出来的密码和框架自动调用查询方法得到的数据库密码通过CustomPasswordEncoder matches校验

    2024年02月02日
    浏览(49)
  • SpringBoot+JWT实现单点登录解决方案

    一、什么是单点登录? 单点登录是一种统一认证和授权机制,指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的系统,不需要重新登录验证。 单点登录一般用于互相授信的系统,实现单一位置登录,其他信任的应用直接免登录的方式,在多个应用系统中,

    2024年02月12日
    浏览(43)
  • SpringBoot单点登录认证系统MaxKey(附开源项目地址)

    MaxKey 单点登录认证系统,谐音马克思的钥匙寓意是最大钥匙,支持 OAuth 2.x/OpenID Connect、SAML 2.0、JWT、CAS、SCIM 等标准协议,提供简单、标准、安全和开放的用户身份管理(IDM)、身份认证(AM)、单点登录(SSO)、RBAC 权限管理和资源管理等。 单点登录(Single Sign On)简称为SSO 、用户只需

    2024年01月24日
    浏览(42)
  • 二、springboot集成CAS客户端实现单点登录

    pom中引入依赖 yml中添加cas配置 读取CAS相关配置 cas配置类 单点登录接口demo 访问loingCas接口时,若未在CASserver登录,则会被拦截跳转到CAS的登陆页面,登陆成功后放行继续访问loginCas接口

    2024年02月15日
    浏览(52)
  • Java实现单点登录

    (1)什么是Token? Token,也称为“令牌”,是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。比如如下形式:39faf6227

    2024年02月19日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包