背景
近日,客户针对我司系统做一些列漏洞扫描,最后总结通用漏洞有如下:
- 用户重复登录
- 接口未授权
- 接口越权访问
针对以上漏洞,分三篇文章分别记录解决方案,供后续回忆学习,本文先处理用户重复登录漏洞
方案
系统采用spring boot搭建,spring security+ jwt 作为安全框架
- 用户登录成功 生成token给到用户, 同时存储到redis中(key值为用户名(标识)) value为生成的token
- 用户再次访问系统请求参数中带有token信息 后台通过过滤器进行拦截进行比对
- 如果token匹配成功 就放行 匹配不成功 说明两个token不一致 开始比对对应的时间戳 后者时间戳 大于前者就把当前token覆盖(如果旧的token请求再次进来 期时间戳就晚于当前redis中的token时间(token已经更新)判断其为被踢出的用户提示重新登录)
思路图
核心代码
- 配置过滤器
- 过滤器实现
RepeatLoginFilter.java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
|
@Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String jwt = resolveToken(request); //重复登录只校验带有合法jwt的 放过验证码以及免鉴权的那些请求 if ( null == jwt || "null" .equalsIgnoreCase(jwt) || ! this .tokenProvider.validateToken(jwt)) { filterChain.doFilter(request, response); return ; } if (isAccessAllowed(jwt)) { filterChain.doFilter(request, response); return ; } // 账号重复登录,跳转登录页面 logout logout(response); } /** * 重复登录核心校验 * @param token 当前token * @return true通过放行 */ private boolean isAccessAllowed(String token) { Authentication authentication = this .tokenProvider.getAuthentication(token); String redisToken = redisTemplate.opsForValue().get(Constants.PREFIX_LOGIN_USER+authentication.getName()); //redisToken为空 说明第一次登陆 放过并加入redis if (!StringUtils.hasLength(redisToken)){ redisTemplate.opsForValue().set(Constants.PREFIX_LOGIN_USER+authentication.getName(),token, 86400 , TimeUnit.SECONDS); return true ; } //redis token和当前token一致 说明是当前登陆用户访问 放过 if (token.equals(redisToken)){ return true ; } //redis token和当前token不一致,比较两个token的创建时间,如果当前token大于redistoken 就说当前是最新的,放入redis并放过 //否则就说明redis里已有最新的token,当前token应该过期,不放行 Date date = this .tokenProvider.getIssueAt(token); Date redisDate = this .tokenProvider.getIssueAt(redisToken); if (date.after(redisDate)){ redisTemplate.opsForValue().set(Constants.PREFIX_LOGIN_USER+authentication.getName(),token, 86400 , TimeUnit.SECONDS); return true ; } else { return false ; } } /** * 获取jwt / private String resolveToken(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } /** * 返回退出信息到前台 * @param response */ private void logout(HttpServletResponse response){ response.setStatus(HttpStatus.FORBIDDEN.value()); response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE); try { JSONObject resultObj = new JSONObject(); resultObj.putOnce( "data" , "账号已在别的地方登录,请重新登录" ); response.getWriter().print(resultObj.toString()); } catch (IOException e) { e.printStackTrace(); } } |
到此这篇关于spring security结合jwt实现用户重复登录处理的文章就介绍到这了,更多相关spring security jwt重复登录内容请搜索服务器之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持服务器之家!
原文链接:https://juejin.cn/post/7070114771902660644