我有一个小问题需要解决,我写了一个用于生成和验证JWT令牌的类,但我已经走到了一个十字路口:如何使令牌无效以进行注销功能?使用Spring MVC创建简单的API rest来与Angular 5中的外部前端进行交互。
代码:
import java.security.Key;
import java.util.Date;
import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Clock;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.impl.DefaultClock;
@SuppressWarnings("restriction")
public class SecurityUtil {
private static final String secretKey = "secret";
private static final Logger logger = LoggerFactory.getLogger(SecurityUtil.class);
private static Clock clock = DefaultClock.INSTANCE;
public static PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
private static Date getExpirationDateFromToken(String token) {
Claims claims = getAllClaimsFromToken(token);
if(claims != null) {
return claims.getExpiration();
}
return null;
}
private static Claims getAllClaimsFromToken(String token) {
try {
return Jwts.parser()
.setSigningKey(DatatypeConverter.parseBase64Binary(secretKey))
.parseClaimsJws(token)
.getBody();
}catch(Exception ex) {
logger.info(ex.getMessage());
return null;
}
}
private static Boolean isTokenExpired(String token) {
Date expiration = getExpirationDateFromToken(token);
if(expiration != null) {
return expiration.before(clock.now());
}
return null;
}
private static Date calculateExpirationDate(Date createdDate) {
return new Date(createdDate.getTime() + (60 * 15) * 1000);
}
public static Boolean validateToken(String token) {
try {
return !isTokenExpired(token);
}catch(Exception ex) {
return false;
}
}
public static String generateToken(String id, String subject) {
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
Date createdDate = clock.now();
Date expirationDate = calculateExpirationDate(createdDate);
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(secretKey);
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
return Jwts.builder()
.setId(id)
.setIssuedAt(createdDate)
.setSubject(subject)
.signWith(signatureAlgorithm, signingKey)
.setExpiration(expirationDate)
.compact();
}
public static String refreshToken(String token) {
Date createdDate = clock.now();
Date expirationDate = calculateExpirationDate(createdDate);
final Claims claims = getAllClaimsFromToken(token);
claims.setIssuedAt(createdDate);
claims.setExpiration(expirationDate);
return Jwts.builder()
.setClaims(claims)
.signWith(SignatureAlgorithm.HS512, DatatypeConverter.parseBase64Binary(secretKey))
.compact();
}
}
我还注意到刷新令牌后,过去的令牌没有失效。
有人可以帮助我吗?
提前致谢
答案 0 :(得分:2)
你真的对JWT的选择有限,因为它是一个无状态的令牌,应该保存在客户端,而不是服务器上,因此不能轻易失效。当然,您可以在服务器上为无效标记添加自定义黑名单,但此解决方案无法很好地扩展,因为您需要将黑名单分发到所有应用程序实例(您可以使用任何分布式缓存解决方案)对于黑名单存储)。
也就是说,如果你将它与令牌本身的短TTL结合起来,它仍然可以合理地工作,因为你可以在黑名单上强加一个非常积极的清理策略(因为没有意义保留条目黑名单的长度超过令牌TTL),减少了复制所需的数据量。
答案 1 :(得分:0)
我有同样的问题,我无法解决它。我将到期日期更改为2分钟