使用Spring Security OAuth2使用JWT生成token及自定义token携带的信息(十)

已于 2023-02-26 15:59:09 修改
阅读量5.6k 收藏 10
点赞数 4
分类专栏: Spring Cloud下基于OAUTH2认证授权 文章标签: spring cloud
于 2020-08-31 15:46:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/H900302/article/details/108282753
版权

写在前面:各位看到此博客的小伙伴,如有不对的地方请及时通过私信我或者评论此博客的方式指出,以免误人子弟。多谢!如果我的博客对你有帮助,欢迎进行评论✏️✏️、点赞👍👍、收藏⭐️⭐️,满足一下我的虚荣心💖🙏🙏🙏 。

   上一篇介绍了jwt相关的概念及与oauth2和session的区别等,现在记录一下jwt令牌的使用姿势,暂时先使用对称加密的方式,之后再完善使用非对称加密的方式。本篇代码基于第七篇: Spring Security OAuth2四种授权模式总结(七)

目录

修改Token格式

授权服务器

获取jwt令牌

校验jwt令牌

自定义Payload

修改Token格式

@Configuration
public class TokenConfig {

    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("abc123");
        return converter;
    }

}

授权服务器

在授权服务中注入上面的TokenStore,并修改令牌管理器增加jwt相关的配置

    @Autowired
    private JwtAccessTokenConverter accessTokenConverter;

    @Bean
    public AuthorizationServerTokenServices tokenServices() {
        DefaultTokenServices tokenServices = new DefaultTokenServices();
        //tokenServices.setClientDetailsService(clientDetailsService);
        tokenServices.setSupportRefreshToken(true);
        tokenServices.setTokenStore(tokenStore);
        // 有效期10秒
        tokenServices.setAccessTokenValiditySeconds(10);
        // 刷新令牌默认有效期3天
        tokenServices.setRefreshTokenValiditySeconds(10);
        // 配置token增强使用jwt
        TokenEnhancerChain chain = new TokenEnhancerChain();
        chain.setTokenEnhancers(Arrays.asList(accessTokenConverter));
        tokenServices.setTokenEnhancer(chain);
        return tokenServices;
    }

获取jwt令牌

获取token,如下:

localhost:9005/oauth/token?client_id=dev-client&client_secret=123456&grant_type=client_credentials

返回如下:

注意:这里把授权服务的 endpoints.authenticationManager(authenticationManager) 已经注释掉了,获取token的时候需要使用客户端模式,如果使用password模式肯定会报错了,错误如下:

{

    "error": "unsupported_grant_type",

    "error_description": "Unsupported grant type: password"

}

另外,上面客户端模式是不返回refresh_token的。

校验jwt令牌

可以使用 /oauth/check_token 端点校验令牌的有效性,并查询令牌内容,前提是授权服务中开放次端点,检查下AuthorizationServerSecurityConfigurer中是否有如下配置:

security.tokenKeyAccess("permitAll()");

首先,我们获取一个jwt令牌,请求如下:

localhost:9005/oauth/token?client_id=dev-client&client_secret=123456&grant_type=client_credentials

然后,执行如下请求:

 此处的value值为上一步获取的access_token,返回结果如下:

{

    "aud": [

        "product-service"

    ],

    "scope": [

        "all"

    ],

    "active": true,

    "exp": 1676622513,

    "jti": "0fc565f1-ac49-4ca9-9aaa-1befb2cb71e6",

    "client_id": "dev-client"

}

自定义Payload

自定义token携带信息很简单,主要步骤就是自定义TokenEnhancer,然后将自定义的TokenEnhancer加入到TokenEnhancerChain中,最后设置到端点中endpoints.tokenEnhancer(tokenEnhancerChain) 。

首先,授权服务器新增TokenEnhancer实现类,代码如下:

@Component
public class CustomTokenEnhancer implements TokenEnhancer {
    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        Map<String, Object> additionalInfo = new HashMap<>(16);
        additionalInfo.put("userid", "123");
        ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);
        return accessToken;
    }
}

然后,将tokenEnhancer注入,追加到TokenEnhancerChain中,并设置到endponits,代码如下:

@Autowired
private CustomTokenEnhancer tokenEnhancer;


TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(tokenEnhancer, accessTokenConverter()));
        endpoints.tokenEnhancer(tokenEnhancerChain);

最后,重启授权服务uaa,再次获取token,结果如下:

 生成的这个token的payload载荷中也是有这个userid的,可以从如下网站验证一下:

JSON Web Tokens - jwt.io

卡_卡_西
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 17万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
验证服务:Spring Security + OAuth2.0 + JWT
02-21
更改日志 2018.9.1 版本升到2.0-SNAPSHOT ,要使用sb1.5.x版本,请切换到TAG 1.0-RELEASE Spring Cloud Security升级到Finchley.RELEASE ,Spring Boot由1.5.X升级到2.0.X。 < dependency> < groupId>org.springframework.cloud</ groupId> < artifactId>spring-cloud-dependencies</ artifactId> < version>Finchley.RELEASE</ version> </ dependency> < parent> < groupId>org.springframework.boot</ group
springboot-oauth2-ldap-example:Belajar Spring Security OAuth2 + JWT + LDAP
04-29
LDAP的安全性Oauth2 请求令牌 curl -X POST \ ' http://localhost:8080/oauth/token?grant_type=password&username=user&password=password&client_id=mandiri_mits ' \ -H ' Authorization: Basic bWFuZGlyaV9taXRzOjEyMzQ1Ng== '
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo包含服务端和客户端,可直接运行测试。
SpringSecurity-Oauth2 之JWT令牌详解
qq_42861526的博客
08-06 3389
这两个时机的执行都是依靠JwtAccessTokenConverter来完成的注意:上面说的只是组件,JWT暴露给SpringSecurity的服务是tokenService,SpringSecurity也是通过tokenService来完成token生成、解析以及存储的 (二) 组件之间的依赖关系 JWT暴露给tokenService使用的类是tokenStore,而tokenStore又依赖于accessTokenConvert和authenticationConvert完成token生成和解析
Spring Security使用token
超频化石鱼的博客
09-12 1万+
单点登录与多点登录 单点登录:同一个账号在同一时间只有一个token有效。一旦生成新的token,所有旧token失效。 多点登录:同一个账号在同一时间可多次登录,每次登陆都会获得一个token。这些token的有效期是隔离的,不受新生成token的影响。 对于token,若要实现单点登录,则必须将所有token保存在服务端。这实际上与token服务端不负责保存的本质相悖。若要实现单点登录,建议使用session。 下面将实现多点登录。 原理与思路 Spring Security的认证与授权是分开的:
Springsceurity使用TokenEnhancer和JwtAccessConverter增强jwt令牌原理
qq_42654484的博客
07-09 1万+
什么是JWT JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。(更多信息建议去官网了解) 使用JWT替换传统Token有很多好处,比如: 简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快 自包含(Self-contained):...
spring-security-oauth2-authorization-server(二)Token生成分析之JWT Token和Opaque Token
weixin_42229668的博客
09-17 2577
因为SpringBoot3.x是目前最新的版本,整合spring-security-oauth2-authorization-server的资料很少,所以产生了这篇文章,主要为想尝试SpringBoot高版本,想整合最新的spring-security-oauth2-authorization-server的初学者,旨在为大家提供一个简单上手的参考,如果哪里写得不对或可以优化的还请大家踊跃评论指正。前面一篇文章。
源码分析 - Spring Security OAuth2 生成 token 的执行流程
nimo10050的博客
06-29 6406
前言 本文内容基于 Spring Security OAuth2(2.3.5.RELEASE) 源码进行分析. 正文 获取 token 的默认请求路径是 /oauth/token 获取 token 的入口是 TokenEndpoint 类 该请求接收的参数有两个 Principal principal Map<String, String> parameters 详细流程 当一个请求打到 oauth/token 时: 调用 ClientDetailsService 类的 loadClie
spring-boot-security-oauth2-jwt-example:在本文中,我们将讨论有关使用Spring Boot安全性和JWT令牌以及如何保护REST API的OAUTH2实现。在我的Spring Boot Security OAUTH2示例的上一篇文章中,我们创建了一个示例应用程序,用于使用具有默认令牌存储的OAUTH2进行身份验证和授权,但是Spring Security OAUTH2实现还提供了定义自定义令牌存储的功能。在这里,我们将使用JwtTokenStore创建一个示例性Sp
04-29
Spring启动安全oauth2 本文旨在提供一个Spring Boot安全性oauth2的工作示例。 要开始使用该项目,只需签出该项目并按照application.properties设置数据库配置,然后将Application.java作为Java应用程序运行即可。 ...
Spring Security 使用JWT自定义Token
lizhengyu891231的博客
11-02 2186
转载自:https://zhouze-java.github.io/2019/09/10/Spring-Security-29-%E4%BD%BF%E7%94%A8JWT%E6%9B%BF%E6%8D%A2%E9%BB%98%E8%AE%A4%E7%9A%84Token/ 叙述 默认的token生成规则其实就是一个UUID,就是一个随机的字符串,然后存到redis中去,使用JWT的话,toke...
Spring Security(五):Token配置
人不风流枉少年
07-04 3362
配置多个client token持久化到redis @Data @ToString @AllArgsConstructor @RequiredArgsConstructor public class OAuth2Client { private String clientId; private String clientSecret; private int acces...
FastAPI Security系列之生成token(基础篇)
Disany的博客
10-29 2999
安装依赖 pip install pyjwt # pip install python-multipart # OAuth2需要通过表单数据来发送信息 pyjwt生成Token细节可参考这篇文章:详解PyJWT生成Token 生成token的代码详解 from datetime import datetime, timedelta from typing import Optional from fastapi import Depends, FastAPI from fastapi.security
Spring-Security & JWT 实现 token
天行健,君子以自强不息;地势坤,君子以厚德载物。
07-23 2282
一、JWT//www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html二、项目环境搭建2.1 引入依赖pom.xml<dependencies> <dependency> <groupId>javax.xml.bind</gro...
SpringSecurityOAuth2 令牌accessToken生成过程
clonetx的博客
05-20 8187
SpringSecurityOAuth2 令牌的生成过程的主要代码分析
Spring Security Oauth2配置类AuthorizationServerConfigurerAdapter
wangooo的博客
02-23 1万+
AuthorizationServerConfigurerAdapter中: ClientDetailsServiceConfigurer:用来配置客户端详情服务(ClientDetailsService),客户端详情信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息。 AuthorizationServerSecurityConfigurer:用来配置令牌端点(Token Endpoint)的安全约束. AuthorizationServerEndpointsC
Springsceurity使用TokenEnhancer和JwtAccessConverter增强jwt令牌源码解析
mac文的java路
02-04 2938
springsecurity登录以后,默认会返回一个令牌(access_token): 通过查看源码,DefaultTokenServices中的createAccessToken方法,令牌其实就是一个uuid: 实际使用中,一般不会使用默认令牌,而是使用jwt令牌来替代默认令牌,这样做的好处是携带默认令牌访问资源,每次都要通过授权服务来认证令牌是否有效,而jwt则可以做到资源服务中自己解析从...
SpringSecurity实现前后端分离登录token认证详解
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
springsecurity+oauth2+jwt demo
最新发布
10-26
Spring Security是一个强大的安全框架,可以用于保护Spring应用程序中的资源和用户身份验证。OAuth2是一种开放标准,用于对第三方应用程序进行安全授权。JWT(JSON Web Token)是一种用于认证和授权的开放标准。 Spring Security OAuth2 JWT Demo是一个示例应用程序,演示了如何使用Spring SecurityOAuth2和JWT进行身份验证和授权。这个示例应用程序包括以下功能: 1. 用户注册和登录:用户可以通过注册页面创建新的账户,并使用已注册的账户登录到应用程序。 2. 资源保护:应用程序中的某些资源需要进行身份验证,只有经过身份验证的用户才能访问这些资源。 3. OAuth2授权:通过使用OAuth2,应用程序可以允许用户使用第三方应用程序进行身份验证和授权。 4. JWT签发和验证:当用户成功进行身份验证后,应用程序会生成一个JWT,用于在后续的请求中进行身份验证和授权。 5. 客户端凭证管理:应用程序支持管理和授权第三方应用程序的客户端凭证,以控制他们对资源的访问权限。 这个示例应用程序可以帮助开发人员理解和使用Spring SecurityOAuth2和JWT来保护他们的应用程序并进行身份验证和授权。通过了解和熟悉这些技术,开发人员可以更好地保护他们的应用程序并提供更安全的用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值