JAVA - 使用 JAX-RS 和 JSON Web 令牌记住用户登录
Posted
技术标签:
【中文标题】JAVA - 使用 JAX-RS 和 JSON Web 令牌记住用户登录【英文标题】:JAVA - Remember user login with JAX-RS and JSON Web Token 【发布时间】:2018-12-24 15:50:57 【问题描述】:我正在开发使用 JAX-RS 和 JWT 进行身份验证的后端服务。但是使用 JWT,当用户在新设备上登录时,将生成新的 JWT 令牌,并且该用户之前的 JWT 令牌将无效。那么如何使用会话或类似的东西来记住用户在他们拥有的所有设备上的登录?
这是我的登录和验证代码:
@POST
@Path("/authenticate")
@Consumes(MediaType.APPLICATION_JSON)
@Produces(MediaType.APPLICATION_JSON)
public Response authenticateCredentials(@HeaderParam("email") String email,
@HeaderParam("password") String password, @HeaderParam("accessToken") String accessToken,
@HeaderParam("type") String loginType)
throws JsonGenerationException, JsonMappingException, IOException
logger.info("Authenticating User Credentials...loginType : " + loginType);
StatusMessage<Users> statusMessage = null;
String jweSerialization = null;
if(loginType == null)
statusMessage = new StatusMessage();
statusMessage.setStatus(Status.PRECONDITION_FAILED.getStatusCode());
statusMessage.setMessage("login type value is missing...");
return Response.status(Status.PRECONDITION_FAILED.getStatusCode()).entity(statusMessage).build();
LoginType type = LoginType.valueOf(loginType);
switch (type)
case systems:
if(email == null)
statusMessage = new StatusMessage();
statusMessage.setStatus(Status.PRECONDITION_FAILED.getStatusCode());
statusMessage.setMessage("email value is missing...");
return Response.status(Status.PRECONDITION_FAILED.getStatusCode()).entity(statusMessage).build();
if(password == null)
statusMessage = new StatusMessage();
statusMessage.setStatus(Status.PRECONDITION_FAILED.getStatusCode());
statusMessage.setMessage("password value is missing...");
return Response.status(Status.PRECONDITION_FAILED.getStatusCode()).entity(statusMessage).build();
Users user = usersDAO.validate(email, password);
logger.info("user after validate : " + user);
if(user == null)
statusMessage = new StatusMessage();
statusMessage.setStatus(Status.NOT_FOUND.getStatusCode());
statusMessage.setMessage("User not found...");
return Response.status(Status.NOT_FOUND.getStatusCode()).entity(statusMessage).build();
jweSerialization = getJWEToken(user);
user.setPassword(null); //not return password and OTP
user.setOTP(null);
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.OK.getStatusCode());
statusMessage.setMessage(jweSerialization);
statusMessage.setData(user);
logger.info("statusMessage : " + statusMessage);
return Response.status(Status.OK.getStatusCode()).entity(statusMessage).build();
case facebook:
if(email == null)
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.PRECONDITION_FAILED.getStatusCode());
statusMessage.setMessage("email value is missing...");
return Response.status(Status.PRECONDITION_FAILED.getStatusCode()).entity(statusMessage).build();
if(accessToken == null)
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.PRECONDITION_FAILED.getStatusCode());
statusMessage.setMessage("facebook access token value is missing...");
return Response.status(Status.PRECONDITION_FAILED.getStatusCode()).entity(statusMessage).build();
FacebookAuth facebookAuth = new FacebookAuth();
SocialUser fbUser = facebookAuth.verifySocialUser(accessToken);
if(fbUser == null)
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.FORBIDDEN.getStatusCode());
statusMessage.setMessage("Fail while verify facebook user...");
return Response.status(Status.FORBIDDEN.getStatusCode()).entity(statusMessage).build();
Users fb_user = usersDAO.validate(fbUser.getEmail(), null);
if(fb_user == null)
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.NOT_FOUND.getStatusCode());
statusMessage.setMessage("User not found...");
return Response.status(Status.NOT_FOUND.getStatusCode()).entity(statusMessage).build();
jweSerialization = getJWEToken(fb_user);
fb_user.setPassword(null); //not return password and OTP
fb_user.setOTP(null);
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.OK.getStatusCode());
statusMessage.setMessage(jweSerialization);
statusMessage.setData(fb_user);
logger.info("statusMessage : " + statusMessage);
return Response.status(Status.OK.getStatusCode()).entity(statusMessage).build();
case google:
if(email == null)
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.PRECONDITION_FAILED.getStatusCode());
statusMessage.setMessage("email value is missing...");
return Response.status(Status.PRECONDITION_FAILED.getStatusCode()).entity(statusMessage).build();
if(accessToken == null)
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.PRECONDITION_FAILED.getStatusCode());
statusMessage.setMessage("google access token value is missing...");
return Response.status(Status.PRECONDITION_FAILED.getStatusCode()).entity(statusMessage).build();
GoogleAuth googleAuth = new GoogleAuth();
SocialUser ggUser = googleAuth.verifySocialUser(accessToken);
if(ggUser == null)
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.FORBIDDEN.getStatusCode());
statusMessage.setMessage("Fail while verify Goolge user...");
return Response.status(Status.FORBIDDEN.getStatusCode()).entity(statusMessage).build();
Users gg_User = usersDAO.validate(ggUser.getEmail(), null);
if(gg_User == null)
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.NOT_FOUND.getStatusCode());
statusMessage.setMessage("User not found...");
return Response.status(Status.NOT_FOUND.getStatusCode()).entity(statusMessage).build();
jweSerialization = getJWEToken(gg_User);
gg_User.setPassword(null); //not return password and OTP
gg_User.setOTP(null);
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.OK.getStatusCode());
statusMessage.setMessage(jweSerialization);
statusMessage.setData(gg_User);
logger.info("statusMessage : " + statusMessage);
return Response.status(Status.OK.getStatusCode()).entity(statusMessage).build();
default:
statusMessage = new StatusMessage<Users>();
statusMessage.setStatus(Status.FORBIDDEN.getStatusCode());
statusMessage.setMessage("Wrong login type...");
return Response.status(Status.FORBIDDEN.getStatusCode()).entity(statusMessage).build();
【问题讨论】:
【参考方案1】:您可以像访问 servlet 一样访问 JAX-RS 中的资源,因为 JAX-RS 实际上是构建在 servlet 之上的。 所以是的,您可以访问 Session 并将您的客户特定信息存储在会话中以维护状态 (Here is an example)。
但是,强烈建议不要像在客户端/服务器设置中那样在 Web 服务的会话中维护 状态。 HTTP 是无状态协议,因此应该使用服务器单独处理每个请求。为每个客户端维护状态的成本随着客户端数量的增加而增加,并且有可能耗尽您的服务器资源。我们在客户端/服务器模式下权衡此成本,以提供更好的用户体验。例如,服务器可以在会话中缓存频繁访问的数据(基于先前的请求模式),以便通过将通信开销保持在最低限度来随着时间的推移减少响应时间。相反,在 Web 服务中,服务器实际上服务于其他服务器。所以在这种情况下,权衡并不像实际的客户端/服务器设置那样有价值。因为对于一个服务器到服务器的通信带宽不是问题。服务器(充当客户端)可以在向其他服务器请求资源时提供任何必要的详细信息。
您的情况是使用 Session 的合法案例。因为您实际上是在使用 JAX-RS 与客户端通信并且需要维护状态(至少出于身份验证目的)。以下是您可以遵循的一组建议。
使用用户名和密码登录后,您可以向用户提供身份验证令牌,并将用户信息与令牌一起存储。对于每个后续请求,客户端可以将令牌发送到服务器,以便服务器可以查找用户身份。在以下线程中,您可以更详细地了解事实协议。
Best practice for REST token-based authentication with JAX-RS and Jersey您可以考虑使用任何现成的缓存机制(例如,JCS、Ehcache、Redis、Memcached 等)来存储您的会话,以便您可以充分利用负载平衡您的服务器实例。如果您正在使用 JBoss 应用程序服务器,Infinispan 已经可供您使用。如果你使用的是 Weblogic 服务器,你可以使用它自带的Oracle Coherence。只需选择最适合您的。
【讨论】:
非常感谢您的回复,萨扎杜尔。你的信息对我非常有用。我将按照您的指南进行研究,以找到适合我的解决方案。谢谢以上是关于JAVA - 使用 JAX-RS 和 JSON Web 令牌记住用户登录的主要内容,如果未能解决你的问题,请参考以下文章
如何使用JAX-RS和Jersey在Adobe AEM 6.2中发布json数据
web service013——发布restful风格的webservice,并使用客户端接收接收(基于RESTful的jax-rs使用的是http协议,可以传输json数据或xml数据)