我正在使用 JAX-RS 和 JWT 进行身份验证来开发后端服务。但是使用 JWT,当用户在新设备上登录时,将生成新的 JWT token ,并且该用户之前的 JWT token 将无效。那么我如何使用 session 或类似的东西来记住用户在他们拥有的所有设备上的登录信息?
这是我的登录和检查身份验证的代码:
@POST
@Path("/authenticate")
@Consumes(MediaType.APPLICATION_JSON)
@Produces(MediaType.APPLICATION_JSON)
public Response authenticateCredentials(@HeaderParam("email") String email,
@HeaderParam("password") String password, @HeaderParam("accessToken") String accessToken,
@HeaderParam("type") String loginType)
throws JsonGenerationException, JsonMappingException, IOException {
logger.info("Authenticating User Credentials...loginType : " + loginType);
StatusMessage<Users> statusMessage = null;
String jweSerialization = null;
if(loginType == null){
statusMessage = new StatusMessage();
statusMessage.setStatus(Status.PRECONDITION_FAILED.getStatusCode());
statusMessage.setMessage("login type value is missing...");
return Response.status(Status.PRECONDITION_FAILED.getStatusCode()).entity(statusMessage).build();
}
LoginType type = LoginType.valueOf(loginType);
switch (type) {
case systems:
if(email == null){
statusMessage = new StatusMessage();
statusMessage.setStatus(Status.PRECONDITION_FAILED.getStatusCode());
statusMessage.setMessage("email value is missing...");
return Response.status(Status.PRECONDITION_FAILED.getStatusCode()).entity(statusMessage).build();
}
if(password == null){
statusMessage = new StatusMessage();
statusMessage.setStatus(Status.PRECONDITION_FAILED.getStatusCode());
statusMessage.setMessage("password value is missing...");
return Response.status(Status.PRECONDITION_FAILED.getStatusCode()).entity(statusMessage).build();
}
Users user = usersDAO.validate(email, password);
logger.info("user after validate : " + user);
if(user == null){
statusMessage = new StatusMessage();
statusMessage.setStatus(Status.NOT_FOUND.getStatusCode());
statusMessage.setMessage("User not found...");
return Response.status(Status.NOT_FOUND.getStatusCode()).entity(statusMessage).build();
}
jweSerialization = getJWEToken(user);
user.setPassword(null); //not return password and OTP
user.setOTP(null);
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.OK.getStatusCode());
statusMessage.setMessage(jweSerialization);
statusMessage.setData(user);
logger.info("statusMessage : " + statusMessage);
return Response.status(Status.OK.getStatusCode()).entity(statusMessage).build();
case facebook:
if(email == null){
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.PRECONDITION_FAILED.getStatusCode());
statusMessage.setMessage("email value is missing...");
return Response.status(Status.PRECONDITION_FAILED.getStatusCode()).entity(statusMessage).build();
}
if(accessToken == null){
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.PRECONDITION_FAILED.getStatusCode());
statusMessage.setMessage("facebook access token value is missing...");
return Response.status(Status.PRECONDITION_FAILED.getStatusCode()).entity(statusMessage).build();
}
FacebookAuth facebookAuth = new FacebookAuth();
SocialUser fbUser = facebookAuth.verifySocialUser(accessToken);
if(fbUser == null){
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.FORBIDDEN.getStatusCode());
statusMessage.setMessage("Fail while verify facebook user...");
return Response.status(Status.FORBIDDEN.getStatusCode()).entity(statusMessage).build();
}
Users fb_user = usersDAO.validate(fbUser.getEmail(), null);
if(fb_user == null){
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.NOT_FOUND.getStatusCode());
statusMessage.setMessage("User not found...");
return Response.status(Status.NOT_FOUND.getStatusCode()).entity(statusMessage).build();
}
jweSerialization = getJWEToken(fb_user);
fb_user.setPassword(null); //not return password and OTP
fb_user.setOTP(null);
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.OK.getStatusCode());
statusMessage.setMessage(jweSerialization);
statusMessage.setData(fb_user);
logger.info("statusMessage : " + statusMessage);
return Response.status(Status.OK.getStatusCode()).entity(statusMessage).build();
case google:
if(email == null){
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.PRECONDITION_FAILED.getStatusCode());
statusMessage.setMessage("email value is missing...");
return Response.status(Status.PRECONDITION_FAILED.getStatusCode()).entity(statusMessage).build();
}
if(accessToken == null){
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.PRECONDITION_FAILED.getStatusCode());
statusMessage.setMessage("google access token value is missing...");
return Response.status(Status.PRECONDITION_FAILED.getStatusCode()).entity(statusMessage).build();
}
GoogleAuth googleAuth = new GoogleAuth();
SocialUser ggUser = googleAuth.verifySocialUser(accessToken);
if(ggUser == null){
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.FORBIDDEN.getStatusCode());
statusMessage.setMessage("Fail while verify Goolge user...");
return Response.status(Status.FORBIDDEN.getStatusCode()).entity(statusMessage).build();
}
Users gg_User = usersDAO.validate(ggUser.getEmail(), null);
if(gg_User == null){
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.NOT_FOUND.getStatusCode());
statusMessage.setMessage("User not found...");
return Response.status(Status.NOT_FOUND.getStatusCode()).entity(statusMessage).build();
}
jweSerialization = getJWEToken(gg_User);
gg_User.setPassword(null); //not return password and OTP
gg_User.setOTP(null);
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.OK.getStatusCode());
statusMessage.setMessage(jweSerialization);
statusMessage.setData(gg_User);
logger.info("statusMessage : " + statusMessage);
return Response.status(Status.OK.getStatusCode()).entity(statusMessage).build();
default:
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.FORBIDDEN.getStatusCode());
statusMessage.setMessage("Wrong login type...");
return Response.status(Status.FORBIDDEN.getStatusCode()).entity(statusMessage).build();
}
}
最佳答案
您可以像访问 servlet 一样访问 JAX-RS 中的资源,因为 JAX-RS 实际上是构建在 servlet 之上的。 所以,是的,您可以访问 session 并将客户端特定信息存储在 session 中以维护状态( Here is an example )。
但是,严格不鼓励在 Web 服务中维护 session 中的状态,就像我们在客户端/服务器设置中所做的那样。HTTP 是无状态协议(protocol),因此服务器应该是这样的隔离地服务每个请求。维护每个客户端状态的成本随着客户端数量的增加而增加,并且有可能耗尽服务器资源。我们在客户端/服务器模式下权衡此成本,以提供更好的用户体验。例如,服务器可以在 session 中缓存频繁访问的数据(基于先前的请求模式),以便通过尽可能减少通信开销来减少响应时间。相反,在 Web 服务中,服务器实际上为其他服务器提供服务。因此,在这种情况下,这种权衡并不像实际的客户端/服务器设置那样有利可图。因为对于服务器到服务器的通信带宽来说不是问题。服务器(充当客户端)可以在向其他服务器请求资源时提供任何必要的详细信息。
您的情况是使用 session 的合法情况。因为您实际上是使用 JAX-RS 与客户端通信,并且需要维护状态(至少出于身份验证目的)。以下是您可以遵循的一组建议。
使用用户名和密码登录后,您可以向用户提供身份验证 token ,并使用 token 存储用户信息。对于每个后续请求,客户端可以将 token 发送到服务器,以便服务器可以查找用户身份。在下面的线程中,您可以更详细地了解事实上的协议(protocol)。
您可以考虑使用任何现成的缓存机制(例如 JCS 、 Ehcache 、 Redis 、 Memcached 等)来存储您的 session ,以便您可以充分利用负载平衡您的服务器实例。如果您使用 JBoss 应用程序服务器,Infinispan已经可供您使用。如果您使用的是Weblogic服务器,则可以使用Oracle Coherence随之而来的。只需选择最适合您的一个即可。
关于JAVA - 使用 JAX-RS 和 JSON Web token 记住用户登录,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51372990/