一、redis优化登录接口。
原有代码中在修改密码在产生新令牌后并未将旧的令牌主动失效,旧的令牌依然可以使用 ,会产生安全隐患,所以需要对其进行优化。
1.令牌主动失效机制。
(1)登录成功后,给浏览器响应令牌的同时,把该令牌存储到redis中;
(2)Loginnterceptor拦截器中,需要验证浏览器携带的令牌,并同时需要获取到redis中存储的与之相同的令牌;
(3)当用户修改密码成功后,删除redis中存储的旧令牌。
2.SpringBoot集成redis。
(1)导入spring-boot-starter-data-redis起步依赖;
(2)在yml配置文件中,配置redis连接信息;
(3)调用API(StringRedisTemplate)完成字符串的存取操作。
3.令牌主动失效。
修改UserController.java中的登录接口以及修改密码接口。
//判断密码是否正确 loginUser对象中的password为密文
if(Md5Util.getMD5String(password).equals(loginUser.getPassword())){
//登录成功
Map<String,Object> claims = new HashMap<>();
claims.put("id",loginUser.getId());
claims.put("username",loginUser.getUsername());
String token = JwtUtil.genToken(claims);
//把token存储到redis中
ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();
operations.set(token,token,1, TimeUnit.HOURS);
return Result.success(token);
}
//调用Service完成密码更新
userService.updatePwd(newPwd);
//删除redis中对应的Token
ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();
operations.getOperations().delete(token);
return Result.success();
修改拦截器LoginInterceptor.java:
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//令牌验证
String token = request.getHeader("Authorization");
try{
//从redis中获取相同的token
ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();
String redisToken = operations.get(token);
if(redisToken == null){
//token已经失效
throw new RuntimeException();
}
Map<String, Object> claims = JwtUtil.parseToken(token);
//把业务数据存储到ThreadLocal中
ThreadLocalUtil.set(claims);
//放行
return true;
}catch (Exception e){
//http响应状态码为401
response.setStatus(401);
//不放行
return false;
}
}
运行测试发现已经修复原有缺陷。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
