一、redis优化登录接口。

        原有代码中在修改密码在产生新令牌后并未将旧的令牌主动失效，旧的令牌依然可以使用 ，会产生安全隐患，所以需要对其进行优化。

1.令牌主动失效机制。

        （1）登录成功后，给浏览器响应令牌的同时，把该令牌存储到redis中；

        （2）Loginnterceptor拦截器中，需要验证浏览器携带的令牌，并同时需要获取到redis中存储的与之相同的令牌；

        （3）当用户修改密码成功后，删除redis中存储的旧令牌。

2.SpringBoot集成redis。

        （1）导入spring-boot-starter-data-redis起步依赖；

        （2）在yml配置文件中,配置redis连接信息；

        （3）调用API(StringRedisTemplate)完成字符串的存取操作。  

3.令牌主动失效。 

        修改UserController.java中的登录接口以及修改密码接口。  

        //判断密码是否正确 loginUser对象中的password为密文if(Md5Util.getMD5String(password).equals(loginUser.getPassword())){//登录成功Map<String,Object> claims = new HashMap<>();claims.put("id",loginUser.getId());claims.put("username",loginUser.getUsername());String token = JwtUtil.genToken(claims);//把token存储到redis中ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();operations.set(token,token,1, TimeUnit.HOURS);return Result.success(token);}

        //调用Service完成密码更新userService.updatePwd(newPwd);//删除redis中对应的TokenValueOperations<String, String> operations = stringRedisTemplate.opsForValue();operations.getOperations().delete(token);return Result.success();

        修改拦截器LoginInterceptor.java：

    @Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//令牌验证String token = request.getHeader("Authorization");try{//从redis中获取相同的tokenValueOperations<String, String> operations = stringRedisTemplate.opsForValue();String redisToken = operations.get(token);if(redisToken == null){//token已经失效throw new RuntimeException();}Map<String, Object> claims = JwtUtil.parseToken(token);//把业务数据存储到ThreadLocal中ThreadLocalUtil.set(claims);//放行return true;}catch (Exception e){//http响应状态码为401response.setStatus(401);//不放行return false;}}

        运行测试发现已经修复原有缺陷。