spring security结合jwt实现用户重复登录处理_Java教程

spring security结合jwt实现用户重复登录处理

2022-10-21 15:35小石头的掘金 Java教程

本文主要介绍了spring security结合jwt实现用户重复登录处理，文中通过示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下

背景

近日，客户针对我司系统做一些列漏洞扫描，最后总结通用漏洞有如下：

用户重复登录
接口未授权
接口越权访问

针对以上漏洞，分三篇文章分别记录解决方案，供后续回忆学习，本文先处理用户重复登录漏洞

方案

系统采用spring boot搭建，spring security+ jwt 作为安全框架

用户登录成功生成token给到用户, 同时存储到redis中（key值为用户名（标识）） value为生成的token
用户再次访问系统请求参数中带有token信息后台通过过滤器进行拦截进行比对
如果token匹配成功就放行匹配不成功说明两个token不一致开始比对对应的时间戳后者时间戳大于前者就把当前token覆盖（如果旧的token请求再次进来期时间戳就晚于当前redis中的token时间（token已经更新）判断其为被踢出的用户提示重新登录）

思路图

spring security结合jwt实现用户重复登录处理

核心代码

配置过滤器

spring security结合jwt实现用户重复登录处理

过滤器实现

RepeatLoginFilter.java

				?

									@Override

									protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

									    String jwt = resolveToken(request);

									    //重复登录只校验带有合法jwt的  放过验证码以及免鉴权的那些请求

									    if (null == jwt || "null".equalsIgnoreCase(jwt) || !this.tokenProvider.validateToken(jwt)) {

									        filterChain.doFilter(request, response);

									        return;

									    }

									    if (isAccessAllowed(jwt)) {

									        filterChain.doFilter(request, response);

									        return;

									    }

									    // 账号重复登录，跳转登录页面 logout

									    logout(response);

									}

									/**

									 * 重复登录核心校验

									 * @param token 当前token

									 * @return true通过放行 

									 */

									private boolean isAccessAllowed(String token) {

									    Authentication authentication = this.tokenProvider.getAuthentication(token);

									    String redisToken = redisTemplate.opsForValue().get(Constants.PREFIX_LOGIN_USER+authentication.getName());

									    //redisToken为空 说明第一次登陆 放过并加入redis

									    if(!StringUtils.hasLength(redisToken)){

									        redisTemplate.opsForValue().set(Constants.PREFIX_LOGIN_USER+authentication.getName(),token,

									          86400, TimeUnit.SECONDS);

									        return true;

									    }

									    //redis token和当前token一致  说明是当前登陆用户访问  放过

									    if(token.equals(redisToken)){

									        return true;

									    }

									    //redis token和当前token不一致，比较两个token的创建时间，如果当前token大于redistoken 就说当前是最新的，放入redis并放过

									    //否则就说明redis里已有最新的token，当前token应该过期，不放行

									    Date date = this.tokenProvider.getIssueAt(token);

									    Date redisDate = this.tokenProvider.getIssueAt(redisToken);

									    if(date.after(redisDate)){

									        redisTemplate.opsForValue().set(Constants.PREFIX_LOGIN_USER+authentication.getName(),token,

									          86400, TimeUnit.SECONDS);

									        return true;

									    }else{

									        return false;

									    }

									}

									/**

									* 获取jwt

									/

									private String resolveToken(HttpServletRequest request) {

									    String bearerToken = request.getHeader("Authorization");

									    if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {

									        return bearerToken.substring(7);

									    }

									    return null;

									}

									/**

									 * 返回退出信息到前台

									 * @param response

									 */

									private void logout(HttpServletResponse response){

									    response.setStatus(HttpStatus.FORBIDDEN.value());

									    response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);

									    try {

									        JSONObject resultObj = new JSONObject();

									        resultObj.putOnce("data","账号已在别的地方登录，请重新登录");

									        response.getWriter().print(resultObj.toString());

									    } catch (IOException e) {

									        e.printStackTrace();

									    }

									}