本文共 2998 字，大约阅读时间需要 9 分钟。

项目引入了JWT，在实现退出功能的时候，发现即使调用了相关接口废弃令牌，但是令牌仍然可以使用。查看原码才知道，使用的JwtTokenStore的removeAccessToken是个空方法。

查了下资料，看到以下这段话。

其实要完美地失效JWT是没办法做到的。

“Actually, JWT serves a different purpose than a session and it is not possible to forcefully delete or invalidate an existing token.”

有以下几个方法可以做到失效 JWT token：

1、将 token 存入 DB（如 Redis）中，失效则删除；但增加了一个每次校验时候都要先从 DB 中查询 token 是否存在的步骤，而且违背了 JWT 的无状态原则（这不就和 session 一样了么？）。

2、维护一个 token 黑名单，失效则加入黑名单中。

3、在 JWT 中增加一个版本号字段，失效则改变该版本号。

4、在服务端设置加密的 key 时，为每个用户生成唯一的 key，失效则改变该 key。

最后决定使用Redis建立一个白名单，大体思路如下：

• 1、生成Jwt的时候，将Jwt Token存入redis中
• 2、扩展Jwt的验证功能，验证redis中是否存在数据，如果存在则token有效，否则无效
• 3、实现removeAccessToken功能，在该方法内删除redis对应的key。

一、将Jwt Token存入Redis中

项目中使用的TokenStore为JwtTokenStore，JwtTokenStore的storeAccessToken是个空方法，我实现了方法，在该方法将token存入redis中，代码如下：

@Beanpublic TokenStore tokenStore() {    return new JwtTokenStore(accessTokenConverter()) {      @Override      public void storeAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) {        //添加Jwt Token白名单,将Jwt以jti为Key存入redis中，并保持与原Jwt有一致的时效性        if (token.getAdditionalInformation().containsKey("jti")) {          String jti = token.getAdditionalInformation().get("jti").toString();          redisTemplate.opsForValue().set(jti, token.getValue(), token.getExpiresIn(), TimeUnit.SECONDS);        }        super.storeAccessToken(token, authentication);      }    };  }

二、实现JwtClaimsSetVerifier，验证Jwt Token是否有效

实现JwtClaimsSetVerifier，在verify方法中验证Redis中Jwt Token是否过期，代码如下：

public class RedisJwtClaimsSetVerifier implements JwtClaimsSetVerifier {  ......  省略部分代码  ......  /**   * 检查jti是否在Redis中存在（即是否过期），如过期则抛异常   */  @Override  public void verify(Map
   
     claims) throws InvalidTokenException {    if (claims.containsKey("jti")) {      String jti = claims.get("jti").toString();      Object value = redisTemplate.opsForValue().get(jti);      if (value == null) {        throw new InvalidTokenException("无效的令牌");      }    }  }
   

三、实现JwtTokenStore的removeAccessToken方法，退出后使原令牌失效

客户端退出时，删除客户端存储的token,并调用服务器的接口删除服务器上存储的令牌，删除令牌最终调用的是tokenStore.removeAccessToken方法，所以只要实现该方法，就能达到删除令牌的效果，实现代码如下：

@Bean  public TokenStore tokenStore() {    return new JwtTokenStore(accessTokenConverter()) {      @Override      public void storeAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) {        //添加Jwt Token白名单,将Jwt以jti为Key存入redis中，并保持与原Jwt有一致的时效性        if (token.getAdditionalInformation().containsKey("jti")) {          String jti = token.getAdditionalInformation().get("jti").toString();          redisTemplate.opsForValue().set(jti, token.getValue(), token.getExpiresIn(), TimeUnit.SECONDS);        }        super.storeAccessToken(token, authentication);      }      @Override      public void removeAccessToken(OAuth2AccessToken token) {        if (token.getAdditionalInformation().containsKey("jti")) {          String jti = token.getAdditionalInformation().get("jti").toString();          redisTemplate.delete(jti);        }        super.removeAccessToken(token);      }    };  }

转载地址：http://xonti.baihongyu.com/