springboot - 用户退出登录时JWT的处理方式?
系统后端采用springboot,jwt认证,jwt设置了过期时间,并已实现jwt自动续签功能
请教一下:当用户退出登录时,是直接让前端删除用户jwt还是说后端将退出登录用户jwt添加到黑名单中?以及他们各自的安全性及其他考量?
共有2个答案
你可以把当前用户的token过期
当用户退出登录时,处理JWT的方式可以因应用程序的需求和设计而有所不同。以下是两种常见的方法以及它们的优缺点:
- 前端删除JWT:
* 安全性:这种方法可以防止恶意用户通过拦截已注销的JWT来伪造身份。由于JWT存储在前端,因此一旦用户注销,JWT就会被删除,从而无法再被使用。* 用户体验:这种方法可以立即终止用户的会话,并清除他们在应用程序中的所有访问权限。* 缺点:由于JWT存储在前端,因此如果用户清除了浏览器的本地存储或使用无痕浏览模式,则JWT可能会被保留。此外,如果用户在多个设备上使用应用程序,则每个设备都需要单独注销。- 后端将退出登录用户的JWT添加到黑名单中:
* 安全性:这种方法可以防止已注销的JWT被重新利用。后端会将已注销的JWT添加到黑名单中,并在验证JWT时检查其是否在黑名单中。如果JWT在黑名单中,则拒绝访问请求。* 用户体验:这种方法可能需要一些时间来更新后端的黑名单,因此用户可能在注销后仍然能够访问一段时间。此外,如果应用程序有多个后端实例,则需要确保所有实例都同步更新黑名单。* 缺点:这种方法需要额外的后端逻辑来管理黑名单,并需要确保黑名单的同步更新。此外,如果后端出现故障或延迟更新黑名单,则可能会出现安全漏洞。综上所述,选择哪种方法取决于应用程序的需求和设计。如果应用程序对安全性要求较高,并且不需要支持多设备登录,则前端删除JWT可能是一个更好的选择。如果应用程序需要支持多设备登录,并且对实时性要求较高,则将退出登录用户的JWT添加到后端黑名单中可能是一个更好的选择。
-
接口说明 退出登录 如需调用,请访问 开发者文档 来查看详细的接口使用说明 该接口仅开放给已获取SDK的开发者 API地址 POST /api/user/1.0.0/loginout 是否需要登录 是 请求字段说明 无 响应字段说明 无 响应成功示例 { "code": 200, "data": "", "message": "OK" } 响应失败示例 { "code": 500,
-
(1). 配置路由(已配置过可省略) 配置路由 myobject/myadmin/urls.py 加入如下代码 .... # 后台管理员路由 url(r'^login$', index.login, name="myadmin_login"), url(r'^dologin$', index.dologin, name="myadmin_dologin"), u
-
本文向大家介绍Android应用退出登录的实现方法,包括了Android应用退出登录的实现方法的使用技巧和注意事项,需要的朋友参考一下 每一个app都会有一个”退出登陆”的功能,当点击退出之后需要将所有的Activity都finish掉,开始是想将栈中的所有Activity清除掉,但是没有找到方法,后来用广播实现了 核心思想 当点击登陆的时候发送一个广播,然后在你的BaseActivity里面手动
-
本文向大家介绍Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,包括了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例的使用技巧和注意事项,需要的朋友参考一下 如今,互联网项目对于安全的要求越来越严格,这就是对后端开发提出了更多的要求,目前比较成熟的几种大家比较熟悉的模式,像RBAC 基于角色权限的验证,shiro框架专门用于
-
无账号对接,在使用需要用户登录得功能时,用户将使用变现产品提供的第三方登录:QQ登录、微信登录
-
无账号对接,在使用需要用户登录得功能时,用户将使用变现产品提供的第三方登录:QQ登录、微信登录。