欢迎来到代码驿站!

JAVA代码

当前位置:首页 > 软件编程 > JAVA代码

spring security结合jwt实现用户重复登录处理

时间:2023-02-09 13:14:23|栏目:JAVA代码|点击:

背景

近日,客户针对我司系统做一些列漏洞扫描,最后总结通用漏洞有如下:

  • 用户重复登录
  • 接口未授权
  • 接口越权访问

针对以上漏洞,分三篇文章分别记录解决方案,供后续回忆学习,本文先处理用户重复登录漏洞

方案

系统采用spring boot搭建,spring security+ jwt 作为安全框架

  • 用户登录成功 生成token给到用户, 同时存储到redis中(key值为用户名(标识)) value为生成的token
  • 用户再次访问系统请求参数中带有token信息 后台通过过滤器进行拦截进行比对
  • 如果token匹配成功 就放行 匹配不成功 说明两个token不一致 开始比对对应的时间戳 后者时间戳 大于前者就把当前token覆盖(如果旧的token请求再次进来 期时间戳就晚于当前redis中的token时间(token已经更新)判断其为被踢出的用户提示重新登录)

思路图

核心代码

  • 配置过滤器

  • 过滤器实现

RepeatLoginFilter.java

@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
    String jwt = resolveToken(request);
    //重复登录只校验带有合法jwt的  放过验证码以及免鉴权的那些请求
    if (null == jwt || "null".equalsIgnoreCase(jwt) || !this.tokenProvider.validateToken(jwt)) {
        filterChain.doFilter(request, response);
        return;
    }

    if (isAccessAllowed(jwt)) {
        filterChain.doFilter(request, response);
        return;
    }

    // 账号重复登录,跳转登录页面 logout
    logout(response);
}

/**
 * 重复登录核心校验
 * @param token 当前token
 * @return true通过放行 
 */
private boolean isAccessAllowed(String token) {
    Authentication authentication = this.tokenProvider.getAuthentication(token);
    String redisToken = redisTemplate.opsForValue().get(Constants.PREFIX_LOGIN_USER+authentication.getName());
    //redisToken为空 说明第一次登陆 放过并加入redis
    if(!StringUtils.hasLength(redisToken)){
        redisTemplate.opsForValue().set(Constants.PREFIX_LOGIN_USER+authentication.getName(),token,
          86400, TimeUnit.SECONDS);
        return true;
    }
    //redis token和当前token一致  说明是当前登陆用户访问  放过
    if(token.equals(redisToken)){
        return true;
    }
    //redis token和当前token不一致,比较两个token的创建时间,如果当前token大于redistoken 就说当前是最新的,放入redis并放过
    //否则就说明redis里已有最新的token,当前token应该过期,不放行
    Date date = this.tokenProvider.getIssueAt(token);
    Date redisDate = this.tokenProvider.getIssueAt(redisToken);
    if(date.after(redisDate)){
        redisTemplate.opsForValue().set(Constants.PREFIX_LOGIN_USER+authentication.getName(),token,
          86400, TimeUnit.SECONDS);
        return true;
    }else{
        return false;
    }

}

/**
* 获取jwt
/
private String resolveToken(HttpServletRequest request) {
    String bearerToken = request.getHeader("Authorization");
    if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
        return bearerToken.substring(7);
    }
    return null;
}

/**
 * 返回退出信息到前台
 * @param response
 */
private void logout(HttpServletResponse response){
    response.setStatus(HttpStatus.FORBIDDEN.value());
    response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
    try {
        JSONObject resultObj = new JSONObject();
        resultObj.putOnce("data","账号已在别的地方登录,请重新登录");
        response.getWriter().print(resultObj.toString());
    } catch (IOException e) {
        e.printStackTrace();
    }
}

上一篇:Java毕业设计实战之仿小米电子产品售卖商城系统的实现

栏    目:JAVA代码

下一篇:Spring Security实现统一登录与权限控制的示例代码

本文标题:spring security结合jwt实现用户重复登录处理

本文地址:http://www.codeinn.net/misctech/225432.html

推荐教程

广告投放 | 联系我们 | 版权申明

重要申明:本站所有的文章、图片、评论等,均由网友发表或上传并维护或收集自网络,属个人行为,与本站立场无关。

如果侵犯了您的权利,请与我们联系,我们将在24小时内进行处理、任何非本站因素导致的法律后果,本站均不负任何责任。

联系QQ:914707363 | 邮箱:codeinn#126.com(#换成@)

Copyright © 2020 代码驿站 版权所有