Java面试：使用JWT做登录凭证，如何解决token注销问题

JWT（JSON Web Token）作为一种安全的登录凭证广泛应用在Web应用中。在使用JWT时，由于它的无状态特性导致一旦发出就无法从服务器端直接吊销，通常有几种解决方案包括：设置较短的过期时间、黑名单机制、刷新令牌（Refresh Token）。对于设置较短的过期时间，它的核心原理是缩短JWT的有效时间，用户在操作过程中频繁地向服务器请求新的JWT，这样即便原JWT被窃取，由于有效期很短，风险也会相应降低。

一、JWT基本概念与挑战

JSON Web Token（JWT），是一种基于JSON的开放标准（RFC 7519），用于作为两方之间安全地传输信息的紧凑形式。一个JWT实际上就是一个字符串，它由三部分组成：头部（Header）、载荷（Payload）、签名（Signature）。

头部（Header）通常包含了两部分：令牌的类型（例如：JWT）、使用的加密算法（例如：HMAC SHA256或RSA）。

载荷（Payload）则包含了一系列的声明。声明是关于实体（通常指的是用户信息）以及其他数据的陈述。它们可以被分为注册声明、公共声明和私有声明。

签名（Signature）部分是对头部和载荷内容的签名，确保在传输过程中没有被篡改。

在Web应用中，用户认证成功之后通常会得到一个JWT。它可以作为用户之后请求的凭证，服务器通过JWT就能确认请求者的身份。然而，JWT的这种无状态特性同样带来了注销问题。

二、设置短的过期时间

解决JWT注销问题的一个方法是为JWT设定较短的有效期。一旦用户完成认证，服务器签发的JWT有效时间 设置得较短，比如15分钟。用户每次发送请求都必须携带JWT，服务器验证JWT有效后才响应请求。如果用户在有效期内没有任何请求操作，JWT自然到期失效。用户需要重新登录获取新的JWT。这种机制可以一定程度上减轻因JWT被盗用造成的风险。

为了不影响用户体验，通常会结合使用刷新令牌（Refresh Token）。这是一个较长有效期的特殊JWT，用于在访问令牌（Access Token）即将到期时自动或手动请求新的访问令牌。

三、黑名单机制

设定JWT的有效期虽然能解决一部分问题，但在某些情况下，我们可能需要提前让JWT失效，这时就需要引入黑名单机制。系统会维护一个JWT黑名单，所有被废止的JWT的ID（jti声明）都会被存储在其中。

当用户注销登录或者JWT被认定为不安全时，服务器会立即将其加入黑名单。随后，即便这些JWT的有效期尚未结束，系统在验证JWT时也会首先检查它是否在黑名单中，如果存在，则拒绝相关请求。

黑名单机制通常结合缓存技术实现，如Redis等，确保黑名单的快速访问和更新。需要注意的是，黑名单机制对存储和计算都要求较高，特别是在高并发场景下，但它能更精确地对JWT进行控制。

四、Refresh Token机制

既要保证系统安全，又要保证用户体验，我们可以实施Refresh Token机制。与访问令牌（Access Token）不同的是，刷新令牌（Refresh Token）的作用是用来获取新的访问令牌的。

应用程序在用户首次登录时，除了发放访问令牌外，还会发放一个有效期更长的刷新令牌。用户在使用应用的过程中，一旦访问令牌到期，客户端就会使用刷新令牌向认证服务器请求发放新的访问令牌。这时，服务器可以对刷新令牌进行验证，以确保其安全性，然后发放一个新的访问令牌。

需要注意的是，刷新令牌本身也可以被注销。当用户主动登出或者被踢下线时，服务器需要将对应的刷新令牌也加入到黑名单中，使其失效。

五、数据库存储与验证

一种较为传统但可行的方法是将JWT与用户的会话信息存储在数据库中。每次用户请求时，服务器除了验证JWT的合法性外，还需要查询数据库确定该JWT令牌是否依然有效。

这种方法虽然可以解决JWT的注销问题，但它牺牲了JWT的无状态优势，增加了数据库访问的频率和系统的复杂性。对于大规模分布式系统而言，这带来的性能负担不容小觑，因此这种方法在现代Web系统中使用较少。

六、有状态的JWT

将JWT设计为有状态，也就是说在JWT的每次验证过程中都需要涉及服务器端的存储系统。这种设计思路和使用传统会话机制相似，要求服务器存储每个JWT令牌的状态信息。

有状态的JWT可以让服务器具有主动吊销单个JWT令牌的能力，这对于希望对令牌精细控制的应用场景很有帮助。但这同样牺牲了JWT的无状态特性，增加了服务器端的存储和资源消耗。

七、结合使用多种策略

在实践中，通常不会单独使用以上某个方法，而是结合多种策略来保证系统的安全性与用户体验。这可能包括设置较短的有效期来限制JWT的生命周期、运用黑名单来拦截已知的无效Token以及使用刷新令牌机制来减少用户的操作成本。

具体选用何种方案，需要根据系统的安全需求、用户体验需求以及实施复杂度之间进行权衡。安全性与便捷性往往是一对矛盾体，有效地结合使用多种策略能够在保障安全的同时，尽量减少对用户体验的影响。

在设置这些策略时，还需要持续关注与JWT相关的安全漏洞和最佳实践的更新，确保实施的解决方案能够跟上安全挑战的变化，为系统和用户提供可靠的保护。

相关问答FAQs：

问题1：JWT登录凭证的注销问题如何解决？

解答：要解决JWT登录凭证的注销问题，可以采用以下方法之一：

1. Blacklist（黑名单）方式：创建一个存储token的黑名单数据库，当用户注销登录时，将该token添加到黑名单。在每次验证token时，先判断该token是否在黑名单中，如果在的话，拒绝访问。
2. 使用token的过期时间：在生成token时，可以设置一个过期时间，当token过期后，即使攻击者获取到了token，也无法继续使用。通常，过期时间应该设置为一个相对较短的时间段，比如一天或几个小时，以提高安全性。
3. 使用token的refresh token机制：在生成token时，同时生成一个refresh token。当token过期后，可以使用refresh token向服务器请求一个新的token。这样可以避免频繁登录，并且在用户注销登录时，同时使refresh token失效，从而达到注销的目的。

问题2：实现JWT登录凭证注销需要注意哪些安全措施？

解答：要实现JWT登录凭证的注销，需要注意以下安全措施：

1. 加密传输：在将token发送给客户端时，务必要使用HTTPS协议进行加密传输，以防止token被窃取或篡改。
2. 使用签名和密钥：在生成token时，使用密钥对其进行签名，以确保token的完整性和真实性。同时，服务器在验证token时，也需要使用同样的密钥进行解密和验证签名。
3. 定期更换密钥：为增加安全性，建议定期更换密钥。这样即使攻击者获取了一个旧的密钥，也无法伪造或篡改token。
4. 限制token访问范围：在生成token时，可以设置访问范围，只允许特定的IP地址或特定的客户端使用该token。这样可以减少token泄露的风险。

问题3：除了注销，还有其他方式可以提高JWT登录凭证的安全性吗？

解答：是的，除了注销，还可以采取其他方式提高JWT登录凭证的安全性，例如：

1. 使用JWT的双因素身份验证：在用户登录时，除了验证用户名和密码外，还可以要求用户提供更多的身份验证信息，比如手机验证码、指纹识别等。这样可以增加登录的安全性。
2. 定期验证token：每次用户发起请求时，都对token进行验证，以确保该token仍然有效。如果token无效，则要求用户重新登录，从而防止非法访问。
3. 使用JWT的单一登录（SSO）机制：如果系统存在多个子系统，可以采用SSO机制，即用户只需登录一次，即可在多个系统中访问资源。这样可以避免用户在每个系统中都使用相同的登录凭证，从而提高安全性和用户体验。

最后建议，企业在引入信息化系统初期，切记要合理有效地运用好工具，这样一来不仅可以让公司业务高效地运行，还能最大程度保证团队目标的达成。同时还能大幅缩短系统开发和部署的时间成本。特别是有特定需求功能需要定制化的企业，可以采用我们公司自研的企业级低代码平台：织信Informat。 织信平台基于数据模型优先的设计理念，提供大量标准化的组件，内置AI助手、组件设计器、自动化（图形化编程）、脚本、工作流引擎（BPMN2.0）、自定义API、表单设计器、权限、仪表盘等功能，能帮助企业构建高度复杂核心的数字化系统。如ERP、MES、CRM、PLM、SCM、WMS、项目管理、流程管理等多个应用场景，全面助力企业落地国产化/信息化/数字化转型战略目标。