[SpringBoot]单点登录 |
您所在的位置:网站首页 › shiro 单点登录 跨域 › [SpringBoot]单点登录 |
关于单点登录
单点登录的基本实现思想: 当客户端提交登录请求时,服务器端在验证登录成功后,将生成此用户对应的JWT数据,并响应到客户端 客户端在后续的访问中,将自行携带JWT数据发起请求,通常,JWT数据会放在请求头的Authorization属性中 在服务器端的任何服务都可以解析JWT数据,从而创建对应的Authentication对象,然后,将Authentication对象存入到SecurityContext中 目前,在之前[SpringBoot]Spring Security框架_万物更新_的博客-CSDN博客已经实现的代码有几个问题: 如何退出登录:客户端丢弃JWT即可 服务器端如何保证客户端真的丢弃了JWT? 如果第三方盗用了JWT如何处理 目前的代码中,将管理员的权限列表存储在JWT中,导致JWT数据太长,并且,权限数据应该视为敏感数据,不应该表现在JWT中 以上问题都可以结合Redis的应用来解决!解决方案如下: 退出登录的问题: 【推荐】【解决方案1】当验证登录成功后,将JWT存入到Redis中,在处理JWT数据的过滤器(JwtAuthorizationFilter)中,首先检查Redis中的信息,如果此JWT在Redis中存在(例如白名单),则视为有效,所以,当退出登录时,只需要在Redis中将对应的JWT删除即可 【解决方案2】当退出登录时,将JWT存入到Redis中,在处理JWT数据的过滤器(JwtAuthorizationFilter)中,首先检查Redis中的信息,如果此JWT在Redis中的“黑名单”中,则视为无效 盗用JWT的问题: 【判断标准】以“IP地址相同或设备信息相同”为真正用户的判断标准,即:如果IP地址与登录时不同,且设备信息与登录时的也不同,则视为“盗用”! 【实现手段】当用户提交登录请求时,就需要获取用户的IP地址与设备信息,当验证登录通过后,将此用户的JWT、IP地址、设备信息全部存入到Redis中,后续,当客户端提交请求后,在JwtAuthorizationFilter中,根据客户端请求中携带的JWT,检查此次请求时的IP、设备信息与此前在Redis中存入的是否相同,如果两者均不同,则视为“盗用”。 携带权限列表的问题: 不再将权限列表保存在JWT数据中,而是存在Redis中 所以,基于以上分析,在处理单点登录时,Redis中的数据大概是: KeyValue用户1的JWT用户1的登录时IP地址、设备信息、权限列表用户2的JWT用户2的登录时IP地址、设备信息、权限列表基于以上做法,还可以更加【实时的】、有效的管理用户信息,例如将用户的启用状态也存入到Redis中,每次请求时都需要检查!同时,当用户的启用状态发生变化时,更新Redis中的数据! 关于以上问题的具体解决方案: 接收客户端的登录请求时,需要获取客户端的IP地址和设备信息(浏览器信息),例如:AdminController.java remoteAddr就是它的ip地址,userAgent就是浏览器的设备信息,然后传入service里面去。 当验证登录通过后,将JWT作为Key,把相关信息(IP地址、浏览器信息、用户的权限列表、用户的启用状态等)作为值,存入到Redis中,并且,JWT中不再包含权限列表AdminServiceImpl.java 以上jwt调整为只存入 id和用户名。
以上往redis里面去存,专门准备了一个AdminLoginInfoPO对象: /** * 管理员登录信息的存储对象,主要用于写入到Redis中 * * @author [email protected] * @version 0.0.1 */ @Data public class AdminLoginInfoPO implements Serializable { /** * 管理员ID */ private Long id; /** * 管理员的启用状态 */ private Integer enable; /** * 管理员登录时的IP地址 */ private String remoteAddr; /** * 管理员登录时的浏览器版本 */ private String userAgent; /** * 管理员的权限列表的JSON字符串 */ private String authorityListJsonString; }时长是存入redis里面的有效时长。 在JwtAuthorizationFilter中,当接收到JWT后,基于此JWT从Redis中获取信息,如果获取不到有效信息,则此JWT视为无效的,当可以获取到相关信息时,检查此用户的状态,检查IP地址、浏览器信息,最终,生成Authentication时,权限也是来自Redis中读取到的数据:
回头其他的管理员把这个号禁用了,redis里面就因该把它改为0,所以以下对它做一个检查,如果==0就是被禁用了,从而去响应信息:
最后以前的权限信息是从解析jwt来得,调整为从redis获取对象,解析得到authorities得到权限列表,这个权限信息就用于去创建认证信息,最后放在jwt里面 关于退出登录:以上通过@RequestHeader注解就得到jwt了,这个注解表示数据是来自请求头的。 以上把jwt删了,后续就是一个不认的状态了,退出登录就处理好了。 关于jwt过期的问题, 在上面的代码中,我们对jwt设置了过期的,如果这个jwt过期了,因该怎么办?比如用户还在逛某宝,是在没用的时候过期了去登录,是合理的,如果在逛的时候过期了需要登录,就不合理。 解决办法是,在解析jwt的时候是能得到剩余有效期的,以下可以看出jwt包含过期时间,所以我们可以制定一个标准,临近过期时间就给它续上。
|
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |