项目使用InMemoryTokenStore时,token有效期设置与强制清除某客户端持有的token

最新推荐文章于 2024-05-27 20:07:33 发布
最新推荐文章于 2024-05-27 20:07:33 发布
阅读量1.3w 收藏 8
点赞数 5
分类专栏: spring 软件安全 文章标签: oauth2 InMemoryTokenStore
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Amandazh/article/details/71170944
版权

1. 设置token有效期

    在使用InMemoryTokenStore(token存储在内存)token生成策略时,系统默认的token的有效时间是12小时。

从oauth源码的默认token生成方法中,可以看出

public class DefaultTokenServices implements AuthorizationServerTokenServices, ResourceServerTokenServices,
		ConsumerTokenServices, InitializingBean {

	private int refreshTokenValiditySeconds = 60 * 60 * 24 * 30; // default 30 days.

	private int accessTokenValiditySeconds = 60 * 60 * 12; // default 12 hours.
.............................
        private OAuth2AccessToken createAccessToken(OAuth2Authentication authentication, OAuth2RefreshToken refreshToken) {
             DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(UUID.randomUUID().toString());
             int validitySeconds = getAccessTokenValiditySeconds(authentication.getOAuth2Request());
             if (validitySeconds > 0) {
                  token.setExpiration(new Date(System.currentTimeMillis() + (validitySeconds * 1000L)));
             }
             token.setRefreshToken(refreshToken);
             token.setScope(authentication.getOAuth2Request().getScope());

             return accessTokenEnhancer != null ? accessTokenEnhancer.enhance(token, authentication) : token;
        }
      
       /**
        * The access token validity period in seconds
        * @param clientAuth the current authorization request
        * @return the access token validity period in seconds
        */
       protected int getAccessTokenValiditySeconds(OAuth2Request clientAuth) {
         if (clientDetailsService != null) {
             ClientDetails client = clientDetailsService.loadClientByClientId(clientAuth.getClientId());
             Integer validity = client.getAccessTokenValiditySeconds();
             if (validity != null) {
                 return validity;
             }
         }
         return accessTokenValiditySeconds;
      }
 ......................

}
从上面官方源码我们可以了解到2个事情

1. 在token对象里面包含了token的过期时间

2. ClientDetails 中的AccessTokenValiditySeconds字段可以指定token的有效期

目前我已经有一个自定义的客户端验证服务类。那么可以在验证客户端对象时,直接调用AccessTokenValiditySeconds的set方法,设置token有效期,这个时间的单位是秒

我的代码:

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.oauth2.provider.ClientDetails;
import org.springframework.security.oauth2.provider.ClientDetailsService;
import org.springframework.security.oauth2.provider.ClientRegistrationException;
import org.springframework.security.oauth2.provider.client.BaseClientDetails;

import bap.core.config.util.spring.SpringContextHolder;
import bap.core.dao.BaseDao;
import bap.pp.core.config.item.domain.ConfigItem;
import bap.pp.strongbox.client.domain.ClientDetail;

/**
 * 客户端身份验证
 * @author Amanda.Z
 *
 */
public class ClientDetailConfig implements ClientDetailsService{

	private BaseDao baseDao;
	
	public ClientDetailConfig() {
		baseDao=SpringContextHolder.getBean(BaseDao.class);
	}
	
	/* 
	 * 根据客户端clientid检查客户端有效性,如果有效,则封装为oauth2客户端对象
	 * @see org.springframework.security.oauth2.provider.ClientDetailsService#loadClientByClientId(java.lang.String)
	 */
	@Override
	public ClientDetails loadClientByClientId(String clientId) throws ClientRegistrationException {
		BaseClientDetails details=new BaseClientDetails();
		ClientDetail client=(ClientDetail) this.baseDao.getUniqueResultByHql("from ClientDetail where clientName=? and deleted=0",clientId);
		if(client!=null){
			//设置客户端id
			details.setClientId(client.getClientName());
			//客户端私钥
			details.setClientSecret(client.getClientSecret());
			//受保护资源id
			List<String> resourceList=new ArrayList<>();
			resourceList.add(client.getResource().getResourceKey());
			details.setResourceIds(resourceList);
			//oauth2保护模式,本项目默认全部是客户端认证模式
			List<String> authorizedGrantTypes=new ArrayList<>();
			authorizedGrantTypes.add("client_credentials");
			details.setAuthorizedGrantTypes(authorizedGrantTypes);
			//客户端传入的参数
			List<String> scopList=new ArrayList<>();
			scopList.add("view");
			scopList.add(client.getScope());
			details.setScope(scopList);
			//设置此客户端持有的用户组
			Collection<GrantedAuthority> auths = new ArrayList<GrantedAuthority>();
			if(bap.util.StringUtil.isNotEmpty(client.getAuthoritites())){
				String [] authArray=client.getAuthoritites().split(",");
				for (String auth : authArray) {
					auths.add(new SimpleGrantedAuthority(auth));
				}
			}
			details.setAuthorities(auths);
			//设置token有效时间,单位是秒,(如果不设置,框架内部默认是12小时,本平台设置默认2小时)
			details.setAccessTokenValiditySeconds(Integer.parseInt(ConfigItem.TokenValiditySeconds.getVal()));
		}
		return details;
	}

}

注意:这里通过ClientDail设置进去的token有效时间,只要有效时间没有过,不管这个时候,客户端是否被删除,都不会影响这个token的访问。

      这个时候 ,产生了一个明显的问题,认证端管理员创建了某个客户端账户,并分配了权限,这个客户端获取了一个token,如果这个时候管理员希望把这个客户端删除,理论上应该连带这个客户端产生的token也删除。

      接下来,介绍如何解决上面的问题,在自己的服务类中,删除某个客户端账户产生的token数据

      首先还是先看源码,我使用的是InMemoryTokenStore,其中已经具备了删除token的方法:

public class InMemoryTokenStore implements TokenStore {

	private static final int DEFAULT_FLUSH_INTERVAL = 1000;

	private final ConcurrentHashMap<String, OAuth2AccessToken> accessTokenStore = new ConcurrentHashMap<String, OAuth2AccessToken>();

	private final ConcurrentHashMap<String, OAuth2AccessToken> authenticationToAccessTokenStore = new ConcurrentHashMap<String, OAuth2AccessToken>();

	private final ConcurrentHashMap<String, Collection<OAuth2AccessToken>> userNameToAccessTokenStore = new ConcurrentHashMap<String, Collection<OAuth2AccessToken>>();

	private final ConcurrentHashMap<String, Collection<OAuth2AccessToken>> clientIdToAccessTokenStore = new ConcurrentHashMap<String, Collection<OAuth2AccessToken>>();

	private final ConcurrentHashMap<String, OAuth2RefreshToken> refreshTokenStore = new ConcurrentHashMap<String, OAuth2RefreshToken>();

	private final ConcurrentHashMap<String, String> accessTokenToRefreshTokenStore = new ConcurrentHashMap<String, String>();

	private final ConcurrentHashMap<String, OAuth2Authentication> authenticationStore = new ConcurrentHashMap<String, OAuth2Authentication>();

	private final ConcurrentHashMap<String, OAuth2Authentication> refreshTokenAuthenticationStore = new ConcurrentHashMap<String, OAuth2Authentication>();

	private final ConcurrentHashMap<String, String> refreshTokenToAccessTokenStore = new ConcurrentHashMap<String, String>();

	private final DelayQueue<TokenExpiry> expiryQueue = new DelayQueue<TokenExpiry>();

	private final ConcurrentHashMap<String, TokenExpiry> expiryMap = new ConcurrentHashMap<String, TokenExpiry>();

	private int flushInterval = DEFAULT_FLUSH_INTERVAL;

	private AuthenticationKeyGenerator authenticationKeyGenerator = new DefaultAuthenticationKeyGenerator();

	private AtomicInteger flushCounter = new AtomicInteger(0);
        .............................
        //从内存中清除token记录
        public void removeAccessToken(OAuth2AccessToken accessToken) {
		removeAccessToken(accessToken.getValue());
	}

        //根据clientid获取其所有token
	public Collection<OAuth2AccessToken> findTokensByClientId(String clientId) {
               Collection<OAuth2AccessToken> result = clientIdToAccessTokenStore.get(clientId);
                return result != null ? Collections.<OAuth2AccessToken> unmodifiableCollection(result) : Collections
                .<OAuth2AccessToken> emptySet();
        }
        //根据token值,在内存中移除这条token的记录
	public void removeAccessToken(String tokenValue) {
		OAuth2AccessToken removed = this.accessTokenStore.remove(tokenValue);
		this.accessTokenToRefreshTokenStore.remove(tokenValue);
		// Don't remove the refresh token - it's up to the caller to do that
		OAuth2Authentication authentication = this.authenticationStore.remove(tokenValue);
		if (authentication != null) {
			this.authenticationToAccessTokenStore.remove(authenticationKeyGenerator.extractKey(authentication));
			Collection<OAuth2AccessToken> tokens;
			String clientId = authentication.getOAuth2Request().getClientId();
			tokens = this.userNameToAccessTokenStore.get(getApprovalKey(clientId, authentication.getName()));
			if (tokens != null) {
				tokens.remove(removed);
			}
			tokens = this.clientIdToAccessTokenStore.get(clientId);
			if (tokens != null) {
				tokens.remove(removed);
			}
			this.authenticationToAccessTokenStore.remove(authenticationKeyGenerator.extractKey(authentication));
		}
	}
        ...............
}

      我们看到这些remove方法,入参要求传入token的,显然我并不知道这个客户端的token的值,我只有这个客户端的对象本身,那么,再看另外的方法findTokensByClientId通过这个方法,可以由clientid获取到这个客户端所有token值,也就是说,接下来,只需要调用这个方法,遍历结果集,逐个调用remove方法移除即可。

     事实上,真正坑爹的是,你得不到InMemoryTokensStrore这个类的实例对象,从Spring容器中,竟然获取不了,我试着用@autowride获取它,直接异常。这是,求助官网文档,但是连个P都没说。所以继续扣源码!!

     持续向上查找所有调用InMemoryTokenStore这个类中方法,并且能够提供对tokenStore的get方法的类,还要求能够从spring中获取得到这个类对象,终于!终于!在public final class AuthorizationServerEndpointsConfigurer 这个类里面我找到了tokenStore的get方法。 


public final class AuthorizationServerEndpointsConfigurer {

	private AuthorizationServerTokenServices tokenServices;

	private ConsumerTokenServices consumerTokenServices;

	private AuthorizationCodeServices authorizationCodeServices;

	private ResourceServerTokenServices resourceTokenServices;

	private TokenStore tokenStore;

	private TokenEnhancer tokenEnhancer;

	private AccessTokenConverter accessTokenConverter;

	private ApprovalStore approvalStore;

	private TokenGranter tokenGranter;

	private OAuth2RequestFactory requestFactory;

	private OAuth2RequestValidator requestValidator;

	private UserApprovalHandler userApprovalHandler;

	private AuthenticationManager authenticationManager;

	private ClientDetailsService clientDetailsService;

	private String prefix;

	private Map<String, String> patternMap = new HashMap<String, String>();

	private Set<HttpMethod> allowedTokenEndpointRequestMethods = new HashSet<HttpMethod>();

	private FrameworkEndpointHandlerMapping frameworkEndpointHandlerMapping;

	private boolean approvalStoreDisabled;

	private List<Object> interceptors = new ArrayList<Object>();

	private DefaultTokenServices defaultTokenServices;

	private UserDetailsService userDetailsService;

	private boolean tokenServicesOverride = false;

	private boolean userDetailsServiceOverride = false;

	private boolean reuseRefreshToken = true;

	private WebResponseExceptionTranslator exceptionTranslator;

        ......................
        //记住这里先
        public boolean isUserDetailsServiceOverride() {
		return userDetailsServiceOverride;
	}
        .............
        public AuthorizationServerEndpointsConfigurer userDetailsService(UserDetailsService userDetailsService) {
		if (userDetailsService != null) {
			this.userDetailsService = userDetailsService;
			this.userDetailsServiceOverride = true;
		}
		return this;
	}
        .................

       //tokenStore是InMemoryTokenStore的父类,这里是关键,我们亲爱的get方法
        public TokenStore getTokenStore() {
		return tokenStore();
	}


那么如何获取AuthorizationServerEndpointsConfigurer,我尝试用@autowride注入我的服务类,然并卵。那么继续挖,在oauth2验证端的原始配置类中,找到了如下语句:

@Configuration
@Order(0)
@Import({ ClientDetailsServiceConfiguration.class, AuthorizationServerEndpointsConfiguration.class })
public class AuthorizationServerSecurityConfiguration extends WebSecurityConfigurerAdapter {

	@Autowired
	private List<AuthorizationServerConfigurer> configurers = Collections.emptyList();

	@Autowired
	private ClientDetailsService clientDetailsService;

	@Autowired
	private AuthorizationServerEndpointsConfiguration endpoints;

	@Autowired
	public void configure(ClientDetailsServiceConfigurer clientDetails) throws Exception {
		for (AuthorizationServerConfigurer configurer : configurers) {
			configurer.configure(clientDetails);
		}
	}

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		AuthorizationServerSecurityConfigurer configurer = new AuthorizationServerSecurityConfigurer();
		FrameworkEndpointHandlerMapping handlerMapping = endpoints.oauth2EndpointHandlerMapping();
		http.setSharedObject(FrameworkEndpointHandlerMapping.class, handlerMapping);
		configure(configurer);
		http.apply(configurer);
		String tokenEndpointPath = handlerMapping.getServletPath("/oauth/token");
		String tokenKeyPath = handlerMapping.getServletPath("/oauth/token_key");
		String checkTokenPath = handlerMapping.getServletPath("/oauth/check_token");
		if (!endpoints.getEndpointsConfigurer().isUserDetailsServiceOverride()) {
			UserDetailsService userDetailsService = http.getSharedObject(UserDetailsService.class);
                        //注意看这行代码
                        endpoints.getEndpointsConfigurer().userDetailsService(userDetailsService);
		}

      endpoints.getEndpointsConfigurer().userDetailsService(userDetailsService);看到这一行,你会明白,用这个endpoints.getEndpointsConfigurer(),你可以获取到AuthorizationServerEndpointsConfigurrer对象。那么这个endpoints这货,是怎么拿到的,是@autowride来的,他在spring容器!妥了这回!

      我的客户端全部都是自定义的,有自己的服务类,所以,现在我可以在我自己的服务类中的删除客户端方法中这样写:

@Autowired
private AuthorizationServerEndpointsConfiguration endpoints;

@Transactional
	public boolean delete(String[] ck_ids) {
		//执行逻辑删除操作
		for (String id : ck_ids) {
			ClientDetail detail=this.baseDao.get(ClientDetail.class, id);
			//移除这个客户端创建的所有token
			InMemoryTokenStore tokenStore=(InMemoryTokenStore) endpoints.getEndpointsConfigurer().getTokenStore();
			Collection<OAuth2AccessToken> tokens=tokenStore.findTokensByClientId(detail.getClientName());
			if(tokens!=null&&tokens.size()>0){
				for(OAuth2AccessToken accessToken:tokens){
					tokenStore.removeAccessToken(accessToken);
				}
			}
			//对客户端进行逻辑删除
			detail.setDeleted(1);	
			this.baseDao.update(detail);
		}
		return true;
	}


打完收工

Amandazh
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JAVA maven项目使用钉钉SDK获取token、用户
08-19
主要介绍了JAVA maven项目使用钉钉SDK获取token、用户,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解JWT token心得与使用实例
10-16
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。...同,需要注意对JWT的有效期管理,避免长期有效的JWT成为潜在的安全隐患。
spring security oauth2认证服务器 用户授权确认 流程源码 配置要点
路过君的博客
05-20 974
org.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint // 授权 @RequestMapping(value = "/oauth/authorize") public ModelAndView authorize(Map<String, Object> model, @RequestParam Map<String, String> parameters, SessionStatus
Spring Security TokenStore实现3+1详解
weixin_34205826的博客
12-29 1109
TokenStore:Persistence interface for OAuth2 tokens.(对于OAuth2令牌持久化接口) 官方文档 TokenStore 的默认实现有三种: InMemoryTokenStore JdbcTokenStore JwtTokenStore 此外,将会根据TokenStor的特性多自定义一种实现——RedisTokenStore 一、InMem...
OAuth2.0 token的自动续期问题
最新发布
xiao_ying_bo_ke的博客
05-27 974
OAuth2.0 的token自动续期源码分析及实现
Spring Security OAuth2.0(三)-----基于Redis存储和JDBC存储
qq_42264638的博客
05-06 1943
Spring Security OAuth2.0(三)-----基于Redis存储和JDBC存储
OAuth2之第三方存储
Curtisjia的博客
11-01 435
OAuth2之第三方存储 令牌往哪里存? 在我们配置授权码模式的候,有两个东西当存在了内存中: InMemoryAuthorizationCodeServices 这个表授权码存在内存中。 InMemoryTokenStore 表示生成的令牌存在内存中。 授权码用过一次就会失效,存在内存中没什么问题,但是令牌,我们实际上还有其他的存储方案。 我们所使用的 InMemoryTokenStore 实现了 TokenStore 接口,我们来看下 TokenStore 接口的实现类: 可以看到,我们有多种
设置 localstorage 定清除
qq_42881675的博客
07-05 2263
可以使用 storage-timing 可以设置 localStorage 定删除。
SpringSecurity记住我功能实现
Curtisjia的博客
10-31 1561
目录`记住我`功能实现token持久化修改登录页配置生效 记住我功能实现 在网站的登录页面中,记住我选项是一个很常见的功能,勾选记住我后在一段间内,用户无需进行登录操作就可以访问系统资源。在Spring Security中添加记住我功能很简单,大致过程是:当用户勾选了记住我选项并登录成功后,Spring Security会生成一个token标识,然后将该token标识持久化到数据库,并且生成一个与该token相对应的cookie返回给浏览器。当用户过段间再次访问系统,如果该cookie没有过期,Spr
基于Springboot+Shiro+jwt+Redis+Mybatis实现的有效期Token刷新方案源码+项目说明.zip
12-20
基于Springboot+Shiro+jwt+Redis+Mybatis实现的有效期Token刷新方案源码+项目说明.zip 本项目为前后端分离的Web应用后端程序,采用技术框架如下: springboot v2.1.2.RELEASE shiro jwt redis mybatis-plus v...
详解vue项目使用token的身份验证的简单实践
01-19
前端将token保存在本地中, 建议使用localstorage进行保存. 下次对服务器发送请求, 带上本地存储的token 服务器端,进行对token的验证, 通过的话, 进行相应的增删改查操作, 并将数据返回给前端 为通过则返回错误...
vue生成token保存在客户端localStorage中的方法
11-26
通过在Vue组件中触发actions,与后端交互获取access-token,并使用mutations来更新全局状态,我们可以确保用户信息的安全存储和后续API请求的授权。这种模式不仅适用于Vue,也适用于其他前端框架,是现代Web开发中...
Spring security登录授权用户有效期简单例子
Zhang Phil
01-21 2007
在上一个例子基础上: https://zhangphil.blog.csdn.net/article/details/122489213https://zhangphil.blog.csdn.net/article/details/122489213加入一些简单改造,任何登录授权用户会给一个登录后的有效期,超后,当前用户需要重新登录认证。这种场景就是常见的网页和app的“记住我”(记住用户名和密码)功能,“记住我”的间可以通过spring的rememberMe()完成。 修改的代码: @
vue获取token(设置token,清除token)实现登录方式
weixin_52416396的博客
10-09 2750
实现了本地数据存储只是用来延长token存在的间其他的一切操作都是用vuex内的state.user内的数据来进行。3、前端收到后端传给的token值,将token存储在本地 有3种方法我们选用 sessionStorage。2 存取麻烦,在存储对象数组类型的候要用JSON转换为JSON类型的字符串。2、后端收到请求,验证用户名和密码,返回给前端一个token值。导出了存储数据,获取数据,和删除数据的函数,数据的转换在这里进行。缺点: 数据存储的有效间短,刷新页面数据消失。在min.js全局引入。
解决 DjangoRestFramework 的 TokenAuthentication Token 没有过期的问题
cpxsxn的博客
10-17 1005
上篇我们介绍了 DjangoRestFramework 的 TokenAuthentication 方案,同提到了该方案有个问题是 Token 永远不过期。本文我们就利用继承 DjanoRestFramework 的 TokenAuthentication 重写其中的 authenticate_credentials 方法来实现给 Token 加个有效期。 # 自定义的ExpiringToken...
个人博客--小小笔记2
qq_48021871的博客
08-16 1884
JWT(token)、事务管理、拦截器、过滤器、ThreadLocal内存泄漏、精度丢失、线程池、int基本类型在执行操作会默认赋值0
SpringSecurity remember功能持久化token信息
Leon_Jinhai_Sun的博客
11-16 839
remember me安全性分析 记住我功能方便是大家看得见的,但是安全性却令人担忧。因为Cookie毕竟是保存在客户端的,很容易盗取,而且 Cookie的值还与用户名、密码这些敏感数据相关,虽然加密了,但是将敏感信息存在客户端,还是不太安全。那么 这就要提醒喜欢使用此功能的,用完网站要及手动退出登录,清空认证信息。 此外,SpringSecurity还提供了remember me的另一种相对更安全的实现机制 :在客户端的cookie中,仅保存一个 无意义的加密串(与用户名、密码等敏感数据无关),然后
vue项目退出登录清除 store 数据
IT博客技术分享
07-05 6546
在退出登录的loginOut 方法里面: 利用v-if控制router-view,在根组件APP.vue中实现一个刷新方法 然后使用候调用: this.reload() 方法
SpringSecurityOauth2(四种模式)
热门推荐
qq_45597391的博客
06-19 1万+
Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。
jwt token有效期如何设置
07-28
例如,如果想要设置JWT的有效期为1小,可以使用以下代码: ```python import datetime import jwt # 设置有效期为1小 expires_in = datetime.datetime.utcnow() + datetime.timedelta(hours=1) # 构建payload...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值