一、JWT退出登录概述
JWT(JSON Web Token)是一种轻量级的认证和授权机制,常用于RESTful API服务中。用户在登录成功后,服务器会对用户进行认证并生成一个JWT返回给客户端,客户端在每次请求时需要带上JWT,服务端通过校验JWT来确定该用户的身份和权限。
但是,当用户需要退出登录时,客户端和服务端都需要清除该JWT。本文将从多个方面详细阐述JWT如何退出登录。
二、清除Token
当用户注销或退出登录时,客户端需要清除本地存储的JWT。
//客户端代码示例
localStorage.removeItem("jwtToken");
服务端不需要做出任何改变,因为JWT是存放在客户端的。
三、JWT如何退出登录
1. JWT的过期时间
为了增强JWT的安全性,通常会设置一个过期时间,一旦超过这个时间,客户端需要重新获取JWT。因此,退出登录可以通过设置JWT的过期时间来实现。
//服务端代码示例
const token = jwt.sign({ //生成JWT
user_id: 123,
exp: Math.floor(Date.now() / 1000) + (60 * 60), //设置过期时间
}, 'jwt_secret_key');
当用户退出登录时,服务端可以设置JWT的过期时间为当前时间戳,这样既可以强制清除JWT,也可以避免JWT被恶意利用。
2. JWT的黑名单
为了增强JWT的可控性,可以创建一个JWT黑名单来存储已经失效的JWT,当客户端请求时,服务端可以检查该JWT是否在黑名单中。
//服务端代码示例
const blacklist = [];
app.post('/logout', function (req, res) {
const { token } = req.body;
blacklist.push(token); //将该JWT加入黑名单
res.send('Logout Successfully');
});
app.get('/user', function (req, res) {
const { token } = req.headers;
if (blacklist.indexOf(token) !== -1) { //若该JWT在黑名单中,禁止访问
res.status(401).send('Token Expired');
} else {
//获取用户信息
}
});
当用户退出登录时,客户端向服务端发送一个请求,将该JWT加入黑名单中。当客户端再次请求时,服务端会检查该JWT是否在黑名单中,若在,则拒绝该请求。
3. JWT撤销机制
为了进一步增强JWT的可控性,并且避免新的JWT被恶意利用,可以引入JWT的撤销机制。该机制允许管理员撤销某个用户的JWT,当客户端请求时,服务端检查该JWT是否在撤销列表中。
//服务端代码示例
const revocationList = [];
app.post('/revoke', function (req, res) {
const { user_id } = req.body;
revocationList.push(user_id); //将该用户的JWT撤销
res.send('Revoke Successfully');
});
app.get('/user', function (req, res) {
const { token } = req.headers;
const decoded = jwt.verify(token, 'jwt_secret_key');
if (revocationList.indexOf(decoded.user_id) !== -1) { //若该用户的JWT已被撤销,禁止访问
res.status(401).send('Token Revoked');
} else {
//获取用户信息
}
});
管理员可以通过发送一个请求来撤销某个用户的JWT。当客户端再次请求时,服务端会检查该JWT对应的用户是否在撤销列表中,若在,则拒绝该请求。
四、总结
JWT的退出登录需要清除Token以及对JWT的处理。通过设置JWT的过期时间、创建JWT的黑名单和引入JWT撤销机制,可以增强JWT的可控性和安全性。
