OAuth2.0的refresh token

最新推荐文章于 2024-04-22 23:31:26 发布
最新推荐文章于 2024-04-22 23:31:26 发布
阅读量4.1w 收藏 12
点赞数 3
分类专栏: 小知识 文章标签: token access 数据库 session api 新浪微博

转载自http://www.html-js.com/?p=1297


最近看人人网的OAuth认证,发现他是OAuth2.0,之前一直看的是新浪的OAuth,是OAuth1.0.

二者还是有很多不同的,主要的不同点在access token的获取方式.

OAuth1.0的access token获取过来之后,就可以存到数据库里,然后长期使用,因为它有效期很长,通常有效期是无限的.

但是OAuth2.0为了增强安全性,access token的有效期被大大缩短,通常只有几个小时,也可以申请增加到几十天,但是总是会有过期的时候.

为此,OAuth2.0增加了一个refresh token的概念,这个token并不能用于请求api.它是用来在access token过期后刷新access token的一个标记.

这里所描述的场景,通常是指那种长周期的应用.也就是需要一直保持用户在线的应用.

在线并不是说用户一直在用这个应用,也可能是用户已经离开,我们在后台仍然可以自动维持用户的状态.例如一个自动发状态的应用.用户并不需要操作这个应用,我们会定时在后台利用用户的accesskey帮助用户发送状态.这也算是用户维持登录状态的一种.

登录状态的维持,在OAuth中靠的是access token,只要我们的应用定时从数据库里取出用户的access token,然后利用access token就可以使用这个用户的身份去请求api了.

在OAuth1.0中用户的登录状态是一直存在的.

在OAuth2.0中用户的登录状态需要通过不断刷新来维持.

例如上面提到的应用.假设更详细的场景,这个应用在用户授权之后,每天给用户的人人网发送一条状态报告当天的日期.

用户授权之后,获取到一个access token和一个refresh token,还有一个是session key,这个是国内大多数开放平台自己添加的一个标记,可以让用户使用http来调用api,如果没有它,用户只能通过https来调用api.session key的生命周期和access token是相同的.

我们把这三个值存到一个队列的数据库中.

然后,在每天的10点,我们遍历这个数据库表,取出它的access token和session key,然后用他们去请求api,如果发现他们已经过期,我们就需要利用refresh token去重新刷新,获取新的access token和session key.然后利用他们去请求api,如果请求的时候提示refresh token也已经过期,那么这时候用户的登录状态就会过期,这说明这个用户至少2各月没有在此应用活跃了,这个活跃不光指用户自己在使用应用,也包括应用自动调用用户api的行为.

每次刷新token的时候都会返回一个新的refresh token,所以说如果你的应用每个月帮用户发一条状态的话,走上面的流程,一直下去,这个用户的登录状态一直都不会过期,至于为什么,自己去琢磨哦,琢磨透了也就理解了.


目前新浪微博的Oauth2.0的refresh token不对外开放。

wenlei_zhouwl
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
oauth2如何refreshToken
m0_46190243的博客
09-29 4951
oauth2如何refreshToken? post请求,跟请求token一样的url地址:http://localhost:9098/oauth/token post需要的参数: grant_type :refresh_token” client_id:分配的客户端id client_secret:分配的客户端密码 refresh_token:值为上一次请求返回值中"refresh_token 实例如下所示 oauth2配置文件需要设置支持refreshToken @Override pu
Spring Security oAuth2.0 Demo.zip
07-04
Spring Security框架 oAuth2.0协议标准,实现认证服务器和资源服务器,并实现oAuth2.0自定义登陆和授权界面,Access_tokenRefresh_token过期时间的设置,以及数据库表结构建表语句,参考博客能更好的学习和了解,多谢大家支持
oauth2.0 05 refresh_token
ywj776199845的专栏
11-10 425
refresh_token 只有 password 和authorization_code 两种方式才有,client_credentials方式 是不会返回refresh_token的!! 我们依旧要在代码中authorizedGrantTypes加一个refresh_token才可以 .authorizedGrantTypes("authorization_code","password","client_credentials","refresh_token") 请求模式 和前面...
避坑指南(一):Spring Security Oauth2中refresh_token刷新access_token异常
热门推荐
银河架构师的博客
12-30 1万+
问题 Spring Security Oauth2中,当access_token即将过期时,需要调用/oauth/token,使用refresh_token刷新access_token,此时会存在一个坑: 即如果使用Spring Security框架默认生成的AuthenticationManager时,接口调用异常。 具体报错信息为如下: No AuthenticationProvid...
oauth2.0的 /oauth/token是配制就有的吗?它会自动返回token吗?在哪里使用呢
mywaya2333的博客
03-02 553
拿到 OAuth 2.0 的访问令牌(access token)后,客户端可以使用该令牌来访问受保护的资源服务器(Resource Server)。如果 OAuth 2.0 授权服务器支持多个资源服务器或者不同类型的资源,客户端可以使用同一个访问令牌来访问不同的资源,只要这些资源服务器都信任该授权服务器颁发的访问令牌。总之,访问令牌是客户端与资源服务器之间进行安全通信的重要凭证,用于证明客户端的身份并获取访问受保护资源的权限。资源服务器会验证访问令牌的有效性,并根据令牌中的权限信息来授权用户对资源的访问。
springboot_security_oauth2.0_redis:redis 缓存,mysql存储用户信息
04-30
#大部分源码来自 @author lxg,类里面有作者信息 #本人在基础上整合与修改。 springboot_security_oauth2.0 add requeset: add response: {"access_token":"b2c338d7-c71d-4e8b-b2bf-809a2fb1b27c","token_type":"bearer","refresh_token":"3c66fd1c-60b5-44d2-a614-548941c13c25","expires_in":43051,"scope":"read"} {"access_token":"25baa135-1fc3-48f3-892b-a4eddce08715","token_type":"bearer","refresh_token":"adb454ee-9a4b-4f65-a073-fc6c513a4bdd",
oauth2.0授权协议中刷新令牌refresh token的工作原理及生命周期分析
u013905744的专栏
12-16 1万+
在学习oauth2.0协议的时候,对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌,以及刷新令牌是如何工作的,技术细节是啥?比如通过refresh token可以让access token永久不过期吗? 下面就针对这两个问题进行分析。 为什么需要刷新令牌 如果access token超时时间很长,比如14条,由于第三方软件获取受保护资源都要带着access token,这样access token的攻击面就比较大。 如果access token超时时间很短,比如1个小时,那其超时之后
OAuth2(三)自定义刷新令牌逻辑 refresh_token
weixin_54889617的博客
12-10 3942
OAuth2自定义刷新refresh_token
OAuth2中 access_tokenrefresh_token的各类配置与使用场景FAQ
weixin_45738731的博客
05-17 2850
过去几年的OAuth2经历与使用,总结一下,记录有关 access_token, refresh_token的各类配置与场景适应,到此以自问自答的形式把这些琐碎的点总结下来。说明:以下问答中的截图或表等信息以中配置为参考。
【SSO单点登录】JWT续签问题 && OAuth2.0 中的refreshToken刷新机制
老男孩的架构路
10-14 2020
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端,前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这里就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端需要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token里边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
OAuth2.0 - 刷新令牌
A_991128a的博客
01-12 1478
刷新令牌是用于获取访问令牌的凭据。刷新令牌由授权服务器颁发给客户端,用于在当前访问令牌失效或过期时获取新的访问令牌,或者获取具有相同或更窄范围的附加访问令牌(访问令牌可能具有更短的范围)生命周期和少于资源所有者授权的权限)。颁发刷新令牌是可选的,由授权服务器决定。因为刷新令牌通常是用于请求额外的访问令牌的持久凭证,刷新令牌绑定到被它被颁发给的客户端。如果通过客户端凭证模式,建议选定其他的身份验证。的过期时间保存下来,每次调用平台方的业务。进行一下时间判断,如果过期则执行刷新。如果过期就只能让用户重新授权。
HttpClient获取OAuth2.0中的code
09-20
通过httpclient post去获取,response返回码是302,返回的code放在header的Location中。 请求的时候client_id,response_type,redirect_uri,state拼接在url后面,account和password放在body表单(x-www-form-urlencoded)中
OAuth2获取token报错invalid stream header
12-14
记一次异常解决:OAuth2获取token...检查需要创建的OAuth2的几张表:oauth_access_tokenoauth_approvals、oauth_client_details、oauth_client_tokenoauth_code、oauth_refresh_token 这几张表的字段类型一定要设
OWIN OAuth 2.0 Authorization Server
08-04
OWIN OAuth 2.0 Authorization Server 用微软的 OWIN 插件,搭建了一个以 MVC5 为框架的 OAuth 2.0 ...除了隐式授权,其他授权模式都对接了,AccessToken 正常,RefreshToken 正常,调用被保护资源端正常。
【kettle001】访问国产达梦数据库并处理数据至execl文件
最新发布
kngines
04-22 184
一直以来想写下基于kettle的系列文章,作为较火的数据ETL工具,也是日常项目开发中常用的一款工具,最近刚好挤时间梳理、总结下这块儿的知识体系。熟悉、梳理、总结下达梦(DM)关系型数据库相关知识体系。
redis分布式锁到底怎么用
LinggoLing的博客
04-22 232
分布式锁到底怎么用
表和索引分片
Sinoregal的博客
04-18 862
是将一个表中的数据分布到不同的dbspace中。SinoDB数据库支持智能化横向的表和索引分区,并将其称之为表和索引分片。分片允许您创建一个表,该表在SQL语句中被视为单个表,但由多个tbspaces组成。正常的分片要求每个 dbspace 中有一个片段。这有效地将较大的表划分为若干较小的 tablespaces,因为一个 tablespace 不能跨 dbspace。新增保留关键字分区。则允许来自一个分片表的多个片段共存于同一个 dbspace。
【1524】java投票管理系统Myeclipse开发mysql数据库web结构java编程计算机网页项目
qq_251836457的博客
04-18 657
2、开发环境为TOMCAT7.0,Myeclipse8.5开发,数据库为Mysql5.0,使用java语言开发。(5)投票选项管理:对投票选项信息进行添加、删除、修改和查看。(6)投票记录管理:对投票记录信息进行添加、删除、修改和查看。(1)管理员管理:对管理员信息进行添加、删除、修改和查看。(2)用户管理:对用户信息进行添加、删除、修改和查看。(3)公告管理:对公告信息进行添加、删除、修改和查看。(4)投票管理:对投票信息进行添加、删除、修改和查看。4)投票浏览查看、查看投票、投票记录。
Android JetPack Compose+Room----实现搜索记录功能
知识应该共享,创造才应收费
04-16 1158
搜索功能是很多APP都会重点维护的功能,因为搜索功能可以很好的帮助用户找到自己需要的内容,与此同时,为了增强用户体验,引入了搜索记录的功能,本文就是介绍一个基于Compose+Room搜索记录功的实现
springboot整合springsecurity+oauth2.0实现token认证
07-08
嗨!关于Spring Boot整合Spring Security和OAuth2.0实现token认证,你可以按照以下步骤进行操作: 1. 添加依赖:在你的Spring Boot项目的pom.xml文件中,添加Spring Security和OAuth2.0相关的依赖。 ```xml <dependencies> <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- Spring Security OAuth2 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> </dependencies> ``` 2. 配置Spring Security:创建一个继承自WebSecurityConfigurerAdapter的配置类,并重写configure方法来配置Spring Security的行为。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/oauth2/**", "/login/**", "/logout/**") .permitAll() .anyRequest() .authenticated() .and() .oauth2Login() .loginPage("/login") .and() .logout() .logoutSuccessUrl("/") .invalidateHttpSession(true) .clearAuthentication(true) .deleteCookies("JSESSIONID"); } } ``` 在上述配置中,我们允许访问一些特定的URL(如/oauth2/**,/login/**和/logout/**),并保护所有其他URL。我们还设置了自定义的登录页面和注销成功后的跳转页面。 3. 配置OAuth2.0:创建一个继承自AuthorizationServerConfigurerAdapter的配置类,并重写configure方法来配置OAuth2.0的行为。 ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients .inMemory() .withClient("client_id") .secret("client_secret") .authorizedGrantTypes("authorization_code", "password", "refresh_token") .scopes("read", "write") .accessTokenValiditySeconds(3600) .refreshTokenValiditySeconds(86400); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints .authenticationManager(authenticationManager); } } ``` 在上述配置中,我们使用内存存储客户端信息(client_id和client_secret),并配置了授权类型(如authorization_code、password和refresh_token)。我们还设置了访问令牌和刷新令牌的有效期。 4. 创建登录页面:创建一个HTML登录页面,用于用户进行身份验证并获取访问令牌。 ```html <!DOCTYPE html> <html> <head> <title>Login</title> </head> <body> <h2>Login</h2> <form th:action="@{/login}" method="post"> <div> <label for="username">Username:</label> <input type="text" id="username" name="username" /> </div> <div> <label for="password">Password:</label> <input type="password" id="password" name="password" /> </div> <div> <button type="submit">Login</button> </div> </form> </body> </html> ``` 5. 处理登录请求:创建一个控制器来处理登录请求,并在登录成功后重定向到受保护的资源。 ```java @Controller public class LoginController { @GetMapping("/login") public String showLoginForm() { return "login"; } @PostMapping("/login") public String loginSuccess() { return "redirect:/protected-resource"; } } ``` 在上述控制器中,我们使用@GetMapping注解来处理GET请求,@PostMapping注解来处理POST请求。登录成功后,我们将用户重定向到受保护的资源。 这样,你就完成了Spring Boot整合Spring Security和OAuth2.0实现token认证的配置。你可以根据自己的需求进行进一步的定制和扩展。希望对你有所帮助!如果你有任何疑问,请随时问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值