- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
我正在使用 Spring Security 开发 Web 应用程序,并且我第一次尝试使用 JSON Web Tokens 进行身份验证。应用程序应根据用户角色限制对某些 URI 的访问。它应该提供密码更改选项,并允许 Admin
用户更改其他用户的角色。
在 tutorial 中我一直在关注,在对服务器的每个 HTTP 请求上,数据库都会被 CustomUserDetailsService
加载以加载用户的当前详细信息,这似乎对性能很重要:
public class JwtAuthenticationFilter extends OncePerRequestFilter {
//...
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
FilterChain filterChain) throws ServletException, IOException {
try {
String jwt = getJwtFromRequest(request);
if (StringUtils.hasText(jwt) && tokenProvider.validateToken(jwt)) {
Long userId = tokenProvider.getUserIdFromJWT(jwt);
UserDetails userDetails = customUserDetailsService.loadUserById(userId);
UsernamePasswordAuthenticationToken authentication =
new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(authentication);
}
} catch (Exception ex) {
logger.error("Could not set user authentication in security context", ex);
}
filterChain.doFilter(request, response);
}
//...
}
教程的作者提出了另一种选择:
Note that you could also encode the user's username and role inside JWT claims and create the UserDetails object by parsing those claims from the JWT.
但是,这是以难以更改用户角色为代价的,因为我们无法在不跟踪它们的情况下丢弃已发行的 token 。
我研究了 JWT 的主题并提出了以下解决方案:
让我们将用户名和角色存储在 JWT 声明中,并设置一个较短的 token 过期时间(使用 exp
声明)——在此期间之后,例如15 分钟后,我们访问数据库以检查用户的详细信息。如果角色已更改,我们会在有效负载中生成具有新角色的新 token 。如果密码已更改,我们要求用户在生成新 token 之前重新进行身份验证。
此解决方案的一个明显缺点是,用户访问权限的任何更改都会在到期时间后生效。
有没有其他方法可以解决使用 JWT 时处理用户详细信息更改的问题?
最佳答案
我们将 JWT token 与 Spring Security 和 Angular webapp 结合使用。
我认为您的Possible Solution
想法是有效的。我们以类似的方式处理这个问题。我们的授权流程如下所示:
由于“刷新”服务,如果用户的角色发生变化,或者如果他们被系统禁止,他们将自动注意到新角色或在 token 到期时间之前被“锁定”。
多年来,这对我们来说效果很好。我们用户的角色不会经常更改,如果希望立即更新他们的角色,他们可以随时注销/重新登录。
其他潜在解决方案
但是,如果在你的系统中立即更新用户的角色是最重要的,你可以在 Spring 中使用过滤器检查每个请求的 JWT header ,并让它进行 JWT 验证,并添加一个新的、刷新的 JWT在每个响应上标记。
然后您的客户端可以期望在从服务器返回的每个响应中获得修改后的 JWT token ,并为每个后续请求使用该修改后的 JWT token 。
这会奏效,但如果您的流量很大,它的成本也会相对较高。
这完全取决于您的用例。正如我所说,“刷新”服务对我们来说效果很好。
关于java - 将 JWT 与基于角色的授权结合使用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50468752/
我有一张 Excel 表格,用于更新玩家评分。 播放器 配售 初始化 1 2 3 4 金融评级 一个 1 2.0 1.000 0.018 0.016 0.014 2.007 D 2 -2.0 54.5
我有一个 map = std::map ,其中 myItemModel继承QAbstractItemModel . 我现在要合并所有 myItemModel合一myItemModel (其他所有元素模
我大量使用“do.call”来生成函数调用。例如: myfun <- "rnorm"; myargs <- list(n=10, mean=5); do.call(myfun, myargs); 但是
想象一下 InputStream 的以下变体: trait FutureInputStream { //read bytes asynchronously. Empty array means E
这是我的 C 代码: #include void sum(); int newAlphabet; int main(void) { sum();
我只是想选择类“.last”之后的每个元素。 HTML: 1 2 Jquery
我正在为一个项目构建一个 XML 反序列化器,我经常遇到这种类型的代码情况: var myVariable = ParseNDecimal(xml.Element("myElement")) == n
这是来自 Selecting the highest salary 的继续问题 假设有一个表 'wagetable' name lowhours highhours wage pri
我正在为我的程序创建一个战舰程序;该程序运行良好,但我试图确保当用户将坐标超出范围时,程序会说他们输入的坐标不正确。这是代码: #include #include void
我有一个函数,它为每种情况返回不同的 DWORD 值,如果出现错误。所以我有以下定义: #define ERR_NO_DB_CONNECTION 0x90000 #define ERR_DB_N
在派生类中引发基类事件以下简单示例演示了在基类中声明可从派生类引发的事件的标准方法。此模式广泛应用于 .NET Framework 类库中的 Windows 窗体类。在创建可用作其他类的基类的类时,应
我只是想知道这是否可能: use Modern::Perl; my @list = ('a' .. 'j'); map { func($_) } each(@list); sub func { m
我一直在使用 =IF(L2="","Active",IF(K2I2,"Late"))) 有效,但现在我需要检查 F 上的多个条件 专栏 我试过了 OR 函数 =IF(OR(F2="Scheduled"
我有 2 个命令,如下所示。 在视频中添加介绍图片 ffmpeg -y -loop 1 -framerate 10 -t 3 -i intro.png -i video.mp4 -filter_com
好的,我有这个公式可以根据名字和姓氏列表生成用户名。现在,虽然这可行,但我希望单元格改为引用我自己的 VBA 函数。但是,由于代码少得多,我仍然想使用原始公式。 我有这个公式: =SUBSTITUTE
我有两个 HAProxy 实例。两个实例都启用了统计信息并且工作正常。 我正在尝试将两个实例的统计信息合并为一个,以便我可以使用单个 HAProxy 来查看前端/后端统计信息。我试图让两个 hapro
我有一个 Observable,其中每个新值都应该引起一个 HTTP 请求。在客户端,我只关心最新的响应值;但是,我希望每个请求都能完成以进行监控/等。目的。 我目前拥有的是这样的: function
我的网站上有 TinyMCE 插件。在 TinyMCE 插件的 textarea 中添加图像时,我希望这些图像包含延迟加载。我网站的缩略图具有特定类型的延迟加载,其中 src 图像是灰色背景。根据用户
我希望合并润滑间隔,以便如果它们重叠,则从内部第一个时间获取最小值和从内部最后一个时间获取最大值并总结以创建一个跨越整个时间段的新间隔。这是一个reprex: library(lubridate, w
我有一个应用程序,它本质上是一个页眉、主要内容和一个始终可见的页脚。页脚可以改变大小,我想在页脚上方的主内容面板上放置一些工具。主要布局是用 flex 完成的,我阅读文档的理解是绝对定位通过相对于最近
我是一名优秀的程序员,十分优秀!