8.3JWT提前撤回
【摘要】 当遇到用户被删除、用户在另一个设备上登陆等场景需要将JWT提前撤回,但是JWT是保存在客户端,无法在服务器中进行删除。
解决思路是在用户表中增加一列JWTVersion,用来存储最后一次发放出去的令牌版本号,每次登陆、发放令牌的时候都让JWTVersion自增,当服务器收到客户端提交的JWT后,将客户端的JWTVersion和服务器的进行比较,如果客户端的值小于服务器中的值则过期。
8.3JWT提前撤回
当遇到用户被删除、用户在另一个设备上登陆等场景需要将JWT提前撤回,但是JWT是保存在客户端,无法在服务器中进行删除。
解决思路是在用户表中增加一列JWTVersion,用来存储最后一次发放出去的令牌版本号,每次登陆、发放令牌的时候都让JWTVersion自增,当服务器收到客户端提交的JWT后,将客户端的JWTVersion和服务器的进行比较,如果客户端的值小于服务器中的值则过期。
实现步骤:
- 为实体类User增加一个long类型的属性JWTVersion
- 修改产生JWT的代码,实现JWTVersion自增
user.JWTVersion++;
await userManager.UpdateAsync(user);//更新数据库
var claims = new List<Claim>();
claims.Add(new Claim(ClaimTypes.NameIdentifier, user.Id.ToString()));
claims.Add(new Claim(ClaimTypes.Name, user.UserName));
claims.Add(new Claim(ClaimTypes.Version, user.JWTVersion.ToString()));//增加该信息
- 编写筛选器,统一实现对所有控制器操作方法中JWT的检查工作
public class JWTValidationFilter : IAsyncActionFilter
{
private IMemoryCache memCache;
private UserManager<User> userMgr;
public JWTValidationFilter(IMemoryCache memCache, UserManager<User> userMgr)
{
this.memCache = memCache;
this.userMgr = userMgr;
}
public async Task OnActionExecutionAsync(ActionExecutingContext context, ActionExecutionDelegate next)
{
var claimUserId = context.HttpContext.User.FindFirst(ClaimTypes.NameIdentifier);//查询用户信息
//对于登录接口等没有登录的,直接跳过
if (claimUserId == null)
{
await next();
return;
}
long userId = long.Parse(claimUserId!.Value);
//放到内存缓存中
string cacheKey = $"JWTValidationFilter.UserInfo.{userId}";
User user = await memCache.GetOrCreateAsync(cacheKey, async e => {
e.AbsoluteExpirationRelativeToNow = TimeSpan.FromSeconds(5);
return await userMgr.FindByIdAsync(userId.ToString());
});
if (user == null)//为查找到用户,可能已经别删除
{
var result = new ObjectResult($"UserId({userId}) not found");
result.StatusCode = (int)HttpStatusCode.Unauthorized;
context.Result = result;
return;
}
var claimVersion = context.HttpContext.User.FindFirst(ClaimTypes.Version);
//jwt中保存的版本号
long jwtVerOfReq = long.Parse(claimVersion!.Value);
//由于内存缓存等导致的并发问题,
//假如集群的A服务器中缓存保存的还是版本为5的数据,但客户端提交过来的可能已经是版本号为6的数据。因此只要是客户端提交的版本号>=服务器上取出来(可能是从Db,也可能是从缓存)的版本号,那么也是可以的
if (jwtVerOfReq >= user.JWTVersion)
{
await next();
}
else
{
var result = new ObjectResult($"JWTVersion mismatch");
result.StatusCode = (int)HttpStatusCode.Unauthorized;
context.Result = result;
return;
}
}
}
- 注册
services.Configure<MvcOptions>(opt=>{
opt.Filters.Add<JWTValidationFilter>();
})
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)