JWT 如何实现一个账号只能同时在一个设备（端）登录

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 2595 days ago, the information mentioned may be changed or developed.

初次尝试 JWT，发现一个账号生成多个 JWT token 后，只要在这些 token 还没过期前都是有效的

例如账号 A 在 15:30 分登录生成了 token0，有效时间为 1 小时，过了 5 分钟账号 A 再次登录生成了 token1 有效时间还是为 1 小时。这时候 token0 和 token1 都是合法的？我之前以为 token1 会把 token0 给刷新掉……

那么如何实现一个账号只能同时在一个设备（端）登录呢？想到了如下几种方式：

1.将 token 存入 redis，每次登录就刷新 redis 里的 token，这样就能保证 token 永远只有一个（虽然实际上还是有多个，但是我只认 redis 里的这一个）。但是这样的话我就不需要 JWT 了啊，直接 redis 实现就好了
2.结合 session，每次登录将 session 写入 token，然后判断当前 session 和 token 里的是否一致。同上面，这样是不是有点冗余了，直接用 session 实现就好了？
3.将用户最后一次登录信息写入 token，判断 token 里的登录信息和数据库里最后一次的登录信息是否一致。这样做的话会频繁查询数据库，数据库负载会变高

各位大佬有什么好方法吗？

token

Redis

jwt

19 replies • 2021-01-26 11:35:39 +08:00

noe132

Apr 10, 2019

直接用 session。

whileFalse

Apr 10, 2019

你需要 session。jwt 面向离线认证设计，其本就不准备支持吊销功能。

session 放内存或者缓存服务，不会对数据库造成压力。

aimerforreimu

Apr 10, 2019 via Android

jwt 设计的时候就有专门的使用场景的，你这样需求的话，用 session 比较合适，物尽其用是最吼的，没有必要强制用 jwt 的

hantsy

Apr 10, 2019

如果用 Spring, 可以使用 Spring Session （可以选择由 Redis 等存储），除了实现传统 HTTP Session 接口外，，还是可以在应用之间共享，可以作为 API 安全方案，也适合于 microservice 架构.

https://github.com/hantsy/spring-microservice-sample#secures-microservice

如果自己实现，不管是什么语言，也可以尝试将 Token 写入 Redis，Redis 写入时可以可以设置 Timeout。

xuanbg

Apr 10, 2019

JWT 不支持的，自己撸一个吧。我的经验是把一些用户信息搞成一个对象放 Redis，生成的 Token 只包含令牌本身的 ID、用户 ID 和验证串就行了。这样服务端在验证 Token 的时候就很灵活了，可以轻松实现楼主的单设备登录需求。

metamask

Apr 10, 2019

如果是 drf 那套的话，
login 的时候直接把 token 更新下就可以。

jwt 的过期和刷新的理念，当时用的时候觉得不太顺手，git 上面好像还有一个 issue 就是讨论这个问题。

kangzai50136

Apr 11, 2019 via Android

直接 spring session 吧，虽然我自己用 jwt+redis。我当初听说分布式的话 jwt+redis 比 session 好才选了 jwt。

whileFalse

Apr 11, 2019

@freakxx 过期和刷新概念的目的就是弥补 jwt 不支持服务端主动吊销的问题。
如果业务不需要主动吊销，直接签发无限时间或 99 年的 jwt 即可。

huangdayu

Apr 11, 2019

存 jwt 的 id，对 id 进行操作，删除则是吊销

zhenjiachen

Apr 11, 2019

我是用户有一个 version 字段，jwt 里面存 username 和 version,把 username 和 version 存到 redis，每次登陆 version 加 1，然后清除 redis 缓存，上一个 token 来了判断 token 里面的 version 字段，不相等就返回 401

alexmy

Apr 11, 2019

把 JWT 搞复杂了，就相当于自己实现了一遍 session。

zy445566

Apr 11, 2019

简单 jwt 里面记录用户 id 和生成一个随机值，登陆的时候用户表存一下这个随机值。验证用户的时候拿用户 id 去查用户表看看这个随机值是不是就是 jwt 的随机值，如果不是，就作废当前 jwt 就好了

jerray

Apr 11, 2019

用 JWT 的话也是能做的，需要实现一套黑名单机制。首先对每个 JWT 生成唯一 ID，用 jti 放在 payload 里面。当你要给某个 Token 设置为无效时，就把这个 ID 放到黑名单里。因为你的 Token 是有过期时间的，所以仅需要对未过期的 Token 进行黑名单检查。

缺点是需要额外的存储和查询。需要存储用户生成的每个 Token ID。因为有过期机制存在，可以定时对过期的 Token ID 记录进行清理来节省空间。

reus

Apr 11, 2019

“只能同时在一个设备（端）登录”这种需求定期抽样检查就行了，那么严格干嘛，浪费资源。

jswh

Apr 11, 2019

当你涉及到需要服务端存储登录态的时候，其实就是 session 了。JWT 这种就是在客户端存储的登录态，只不过做了协议约束和加密。

Alife8

Jun 4, 2019

我在寻找一种允许最多 x 个设备登录的最优方案.至于 1 个设备（帐号），似乎要好解决一些。想法和上面几位同学有相似！
1.在用户表多加一个字段 R
2.给 JWT 设定刷新时间
3.给 JWT 数据上加入 R 字段
当用户新登录时，给 R 一个随机值,并加入到 JWT 中返回给用户。
JWT 要刷新时，判断 JWT.R 值和用户表.R 值是否相等，不同则要求用户重登录，相同则返回新的 JWT。
当然这个 JWT 只有在刷新时才判断，若要解决这个问题可以加入一个黑名单缓存表，在用户新登录时根据最后登录时间判断上次生成的 JWT 刷新时间是否还未到。这样在用户请求数据时先查一下黑名单。这样还有一个好处，在用户修改了密码后之前的 JWT 就无效了.

不足：不够优雅
优点：似乎也只能这样了

Alife8

Jun 4, 2019

刚说的多加一个 R 其实也没必要，直接用最后登录时间代替就好！
PS:v2 上居然不能编辑！！

0x1001

Sep 24, 2020

@zhenjiachen 可

konglizhi3362

Jan 26, 2021

登录的三种模型：
多地登录：同一账号可以在任意地点同时登录，互不影响
单地登录：在同一时间一个账号只能在一个地点登录，新登录会挤掉旧登录者
同端互斥登录：在同一类型设备上只允许单地点登录，在不同类型设备上允许同时在线
楼主需要的是第二种，单地登录，建议了解一下 sa-token 框架，这个框架有登录问题解决方案，一行代码解决你的问题