玄学bug系列(二)-auth2中removeAccessToken清除token信息不全

最新推荐文章于 2022-10-14 09:28:23 发布
最新推荐文章于 2022-10-14 09:28:23 发布
阅读量3k 收藏 3
点赞数 5
分类专栏: 玄学bug 文章标签: java redis oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JanHezz/article/details/112791988
版权

《玄学bug系列(二)-auth2中removeAccessToken清除token信息不全》首发牧马人博客转发请加此提示

欢迎大家观看玄学bug系列第二篇,好久没遇到值得写篇文章描述的bug了,话不多说吗,直接开干。

玄学程度5颗星。难度4颗星,爆肝程度一天。

读前需知

本文所说oauth2版本为2.3.6

正式所用环境为Redis集群环境

本文所说的tokenStoreoauth2中的RedisTokenStore这个类,所以我的token信息是存在于redis服务器中的。

前因

简单的介绍了一下我的项目结构,我们是一个微服务项目,所以我们有自己的认证中心,也就是oauth2认证中心。这次出现的问题就在正式环境下,权限信息,清除不掉。但是开发环境,以及测试环境是正常的。我的系统只有在退出登录会调用removeAccessToken方法的情况下会清除token信息。清除完token后正常情况是会掉线的,也就是需要重新获取token。正常情况下是会重新查表,然后缓存到redis。这次正式环境出的问题就是清除token信息不全。导致用户重新登录后,获取的还是老token信息。也就是RedisTokenStore.removeAccessToken在正式环境出了bug,清除token信息不全。

这里先给大家普及下,在我的oauth2认证服务中,如果登录成功,会往redis插入9条信息。分别是:

在这里插入图片描述

这里我主要讲两个:access auth_to_access
这两个存的都是用户的token信息(一模一样)。但是生成的rediskey的规则不一样。``access是跟据 access+ token序列化后的值作为key。把**token**存进去。auth_to_access是以auth_to_access为前缀+username+client_id+scope的值md5加密后作为key存在redis中。其实别看它生成那么多,其实最终存入**redis**中的东西都是一样的。其中我这边爆出生产问题的就是因为auth_to_access`为前缀的token值没删除掉。

排查思路

发现这个问题后,我第一时间就反应过来了,查看redis集群看看是否**token没有清除掉。果不其然。有一个token信息没有清理掉。前缀为auth_to_access**的token信息没清除掉。

知道这个问题后,第一时间我就去看了退出登录这个方法

	@DeleteMapping("/{token}")
	public R<Boolean> delToken(@PathVariable("token") String token) {
		OAuth2AccessToken accessToken = tokenStore.readAccessToken(token);
		if (accessToken == null || StrUtil.isBlank(accessToken.getValue())) {
			return R.ok(Boolean.TRUE, "退出失败,token 无效");
		}

		OAuth2Authentication auth2Authentication = tokenStore.readAuthentication(accessToken);
		// 清空用户信息
		cacheManager.getCache(CacheConstants.USER_DETAILS)
				.evict(auth2Authentication.getName());

        // 清空access token
		tokenStore.removeAccessToken(accessToken);

        // 清空 refresh token
		OAuth2RefreshToken refreshToken = accessToken.getRefreshToken();
		tokenStore.removeRefreshToken(refreshToken);
		return R.ok();
	}

从上诉方法中可以看出我是**tokenStore.removeAccessToken(accessToken);**出问题了。然后我进去源码看了下

public void removeAccessToken(String tokenValue) {
		byte[] accessKey = serializeKey(ACCESS + tokenValue);
		byte[] authKey = serializeKey(AUTH + tokenValue);
		byte[] accessToRefreshKey = serializeKey(ACCESS_TO_REFRESH + tokenValue);
		RedisConnection conn = getConnection();
		try {
			conn.openPipeline();
			conn.get(accessKey);
			conn.get(authKey);
			conn.del(accessKey);
			conn.del(accessToRefreshKey);
			// Don't remove the refresh token - it's up to the caller to do that
			conn.del(authKey);
			List<Object> results = conn.closePipeline();
			byte[] access = (byte[]) results.get(0);
			byte[] auth = (byte[]) results.get(1);

			OAuth2Authentication authentication = deserializeAuthentication(auth);
			if (authentication != null) {
               
				String key = authenticationKeyGenerator.extractKey(authentication);
				byte[] authToAccessKey = serializeKey(AUTH_TO_ACCESS + key);
				byte[] unameKey = serializeKey(UNAME_TO_ACCESS + getApprovalKey(authentication));
				byte[] clientId = serializeKey(CLIENT_ID_TO_ACCESS + authentication.getOAuth2Request().getClientId());
				conn.openPipeline();
                //我是这一步没删除掉,所以可能有两原因这个key生成跟插入的时候不一致,第二点就是单纯的删除不掉。
				conn.del(authToAccessKey);
				conn.sRem(unameKey, access);
				conn.sRem(clientId, access);
				conn.del(serialize(ACCESS + key));
				conn.closePipeline();
			}
		} finally {
			conn.close();
		}
	}

这一步一共删除了9个,为什么单单其中一个删除不掉。这时候我们有理由怀疑authenticationKeyGenerator.extractKey(authentication)这个方法出现了问题

AUTH_TO_ACCESS这个前缀的key是这样生成的

String key = authenticationKeyGenerator.extractKey(auth2Authentication);
String redisKey =  SecurityConstants.AUTH_TO_ACCESS + key;

extractKey这个方法是这样的

public String extractKey(OAuth2Authentication authentication) {
		Map<String, String> values = new LinkedHashMap<String, String>();
		OAuth2Request authorizationRequest = authentication.getOAuth2Request();
		if (!authentication.isClientOnly()) {
			values.put(USERNAME, authentication.getName());
		}
		values.put(CLIENT_ID, authorizationRequest.getClientId());
		if (authorizationRequest.getScope() != null) {
			values.put(SCOPE, OAuth2Utils.formatParameterList(new TreeSet<String>(authorizationRequest.getScope())));
		}
		return generateKey(values);
	}

generateKey这个方法仅仅只是做了一个md5加密。这一步可以确定没问题了。

protected String generateKey(Map<String, String> values) {
		MessageDigest digest;
		try {
			digest = MessageDigest.getInstance("MD5");
			byte[] bytes = digest.digest(values.toString().getBytes("UTF-8"));
			return String.format("%032x", new BigInteger(1, bytes));
		} catch (NoSuchAlgorithmException nsae) {
			throw new IllegalStateException("MD5 algorithm not available.  Fatal (should be in the JDK).", nsae);
		} catch (UnsupportedEncodingException uee) {
			throw new IllegalStateException("UTF-8 encoding not available.  Fatal (should be in the JDK).", uee);
		}
	}

由上面源码可得唯一可能的错就是authentication认证信息跟一开始认证的时候不对。然后我在退出登录那里把信息打印出来了

       String key = authenticationKeyGenerator.extractKey(auth2Authentication);
       String name = auth2Authentication.getName();
       String clientId = auth2Authentication.getOAuth2Request().getClientId();
       String scope = OAuth2Utils.formatParameterList(new TreeSet<String>(auth2Authentication.getOAuth2Request().getScope()));
       log.error("NAME:--"+name+"-CLIENTID:"+clientId+"-SCOPE---"+scope+"-KEY:"+key);
        System.out.println(key);

离奇的事发生了,信息都是对应得上的。也就是说authenticationKeyGenerator.extractKey(auth2Authentication);key值一样。但是正式环境,由于网络权限问题,我没办法远程debug。所以我进入不到removeAccessToken这个方法调试看那个key是不是一致的。我只能在自己的外围方法里打debug调用。模拟oauth2自带的key生成方式生成一个key来进行对比。但是对比结果却是一样的。最终我经过很多尝试,还是没能找到问题出在哪。所以我就想了个笨方法来解决这个bug。

解决方案(并非最佳)

这个方法比较笨,其实就是自动手动去删除token信息,因为你知道了key的生成规则,所以完全是可行的。代码如下。事后紧急打了个修复包。亲测可行。

  /**
     * 手动清理AuthToAccessTOken
     * 自带方法在正式环境有个未知bug处理不了
     *
     * @param auth2Authentication
     */
    private void delAuthToAccess(OAuth2Authentication auth2Authentication) {

        if (null == auth2Authentication) return;

        AuthenticationKeyGenerator authenticationKeyGenerator
                = new DefaultAuthenticationKeyGenerator();
        String key = authenticationKeyGenerator.extractKey(auth2Authentication);
//        String name = auth2Authentication.getName();
//        String clientId = auth2Authentication.getOAuth2Request().getClientId();
//        String scope = OAuth2Utils.formatParameterList(new TreeSet<String>(auth2Authentication.getOAuth2Request().getScope()));
//        log.error("NAME:--"+name+"-CLIENTID:"+clientId+"-SCOPE---"+scope+"-KEY:"+key);
        System.out.println(key);
        String redisKey = 
                SecurityConstants
                        .AUTH_TO_ACCESS + key ;
        // 清空AUTH_TO_ACCESS access token
        redisTemplate.delete(redisKey);

    }
后话

这个问题,至今为止,我还没发现这个问题是为什么在正式环境才出现。为什么oauth2自带的删除方法其余8个都能正常清理,但是唯独非常关键的一个却清理不了。事后我还对oauth2登录代码研究下,解决我的另一个疑问。就是我都重新登录了,为什么不能重新生成token信息。我发现了一个疑是bug的设计。就是登录那里,他在你认证,授权都成功后。token都重新生成了。他不是把token信息插入redis。而是去找redis有没有token信息,如果有就直接返回老的token信息,而不是把新生成的token信息存进redis。然后把新的返回给调用者。在DefaultTokenServices.createAccessToken这个类里面

@Transactional
	public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {

        //这一步就是我的疑问,竟然把新的认证信息都拿过来了,重新生成个新的,把新的返回去不就好了,为啥还去找有没有老的。
        //这一步我只站在业务的角度上去考虑这个事情,没有在整个架构去考虑,如果这不是bug希望有人解决我这个疑问
		OAuth2AccessToken existingAccessToken = tokenStore.getAccessToken(authentication);
		OAuth2RefreshToken refreshToken = null;
		if (existingAccessToken != null) {
			if (existingAccessToken.isExpired()) {
				if (existingAccessToken.getRefreshToken() != null) {
					refreshToken = existingAccessToken.getRefreshToken();
					// The token store could remove the refresh token when the
					// access token is removed, but we want to
					// be sure...
					tokenStore.removeRefreshToken(refreshToken);
				}
				tokenStore.removeAccessToken(existingAccessToken);
			}
			else {
				// Re-store the access token in case the authentication has changed
				tokenStore.storeAccessToken(existingAccessToken, authentication);
				return existingAccessToken;
			}
		}

		// Only create a new refresh token if there wasn't an existing one
		// associated with an expired access token.
		// Clients might be holding existing refresh tokens, so we re-use it in
		// the case that the old access token
		// expired.
		if (refreshToken == null) {
			refreshToken = createRefreshToken(authentication);
		}
		// But the refresh token itself might need to be re-issued if it has
		// expired.
		else if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
			ExpiringOAuth2RefreshToken expiring = (ExpiringOAuth2RefreshToken) refreshToken;
			if (System.currentTimeMillis() > expiring.getExpiration().getTime()) {
				refreshToken = createRefreshToken(authentication);
			}
		}

		OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);
		tokenStore.storeAccessToken(accessToken, authentication);
		// In case it was modified
		refreshToken = accessToken.getRefreshToken();
		if (refreshToken != null) {
			tokenStore.storeRefreshToken(refreshToken, authentication);
		}
		return accessToken;

	}

后续我会把**/oauth/token这个方法的源码解析讲一下,解决一下大家对于/oaurh/token**这个链接请求的一些疑问。有啥问题欢迎大家和我一起探讨。

牧码人博客www.luckyhe.com
关注
专栏目录
SpringSecurity OAuth2 Server 核心组件之OAuth2AuthorizationService,缓存Token就靠它了,但最好把它改造成Redis内核哦!
07-02 620
另一个是基于数据库的:JdbcOAuth2AuthorizationService(对并发量有影响,另外这些数据没必要持久保存)OAuth2AuthorizationService是用于存储和管理授权对象OAuth2Authorization。在很多地方,其它的相关组件都会用到它,例如,客户端身份验证、授权授予处理、令牌内省、令牌吊销、动态客户端注册等等。授权对象很容易理解,这个和一个bean对象差不多,主要包含clientId和对应的token数据。有任何问题都可以加我QQ:3218138121。
springcloud集成Oauth2权限项目-退出登录并清除redisaccess_token(十四)
穷水叮咚的博客
10-30 1万+
当用户退出的时候,清除redistoken,其实很简单 我直接在oauth服务新建一个接口 @RestController @RequestMapping("/authentication") public class UserController { @Autowired @Qualifier("consumerTokenServices") privat...
oauth2下关于如何删除token
qq_42176433的博客
09-28 2757
框架:febs-cloud 改装部分:使用账号:APP 这种方式来获取token 其他地方不动 单点登陆:简单实现就是当第台设备登陆时候 t掉第一台设备的登陆状态 所谓踢掉就是 使第一台设备的token失效 (如果设备接收消息的话 同步消息通知) 删除本地的登陆状态 从而让他重新登陆 ok 实现说完了 问题就是如何简单实现根据账号删除token这个问题 首先看原代码里的方法: 很明显 这里需要根据当前的token才能抹除权限 但这不符合我们需求 我们现在只有一个登陆账号 无法在第台设备里拿到第
清空缓存和token
zh_chong的博客
03-03 2482
@Inner @DeleteMapping("/{token}") @Override public R<Boolean> removeTokenById(@PathVariable("token") String token, @RequestHeader(SecurityConstants.FROM) String from) { OAuth2AccessToken accessToken = tokenStore.readAccessToke...
kong 删除oauth2生成的Token
偶爱喝可乐
12-20 4694
来源:https://blog.lqsos.com/index.php/archives/31/创建APIcurl -i -X POST \ --url http://localhost:8001/apis/ \ --data 'name=example-api' \ --data 'uris=/user' \ --data 'upstream_url=http://
WEB安全(十token的续签问题-即动态刷新token,避免用户经常重新登录
jinyangjie的博客
02-16 1万+
token有效期一般都设置得很短,那么token过期后如何动态刷新token,避免用户经常重新登录呢? 来看个具体需求: 超过2个小时后,用户没有请求,则需要重新登录。 这个需求一般有两种实现方式。 方式一 每次请求都返回新 token 假设一个 token 的签发时间为 12:00,需求为 2h 未进行请求即过期。则设置有效期 2h,那么每次请求都会把一个 token 换成一个新 token。如果 2h 没有进行请求,那么上一次请求的到的 token 就会过期,需要重新登录。不断签就能一直使用下去。 这种
Spring Oauth2+JWT后端自动刷新Access_token
程序员小乐
08-26 2846
点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文Sometimes it's not the person yo...
nexus-gitlab-token-auth-plugin:使用 Gitlab 用户令牌的 Nexus 身份验证
06-29
在 sonatype-work/nexus/plugin-repository 下解压包 (target/nexus-gitlab-token-auth-plugin-0.1.0-SNAPSHOT-bundle.zip) 将sample/gitlab-plugin.xml复制并编辑到: sonatype-work/nexus/conf/gitlab-plugin.xml...
react-devise-token-auth-sample:使用devise_token_auth进行身份验证的Rails
02-05
这是使用devise_token_auth gem进行身份验证的React on Rails的示例应用程序。 发展历程 $ git clone https://github.com/saitoxu/react-devise-token-auth-sample.git $ cd react-devise-token-auth-sample $ ...
yapi-plugin-interface-oauth2-token:这是一个为了解决yapi的oauth2.0项目接口需要做鉴权操作的插件
05-30
yapi-plugin-interface-oauth2-token 这是一个为了解决yapi管理的项目接口需要做鉴权操作的插件,觉得可以给 star 的欢迎 star 一下,你的 star 是我前进的动力之一。 主要解决问题 针对大多数项目来说,特别是现在的...
thans/tp-jwt-auth 如何写自动刷新token逻辑
apanpan8126的博客
07-11 902
thans/tp-jwt-auth 自动刷新token
OAuth2接入第三方认证平台实战(登录,注销,当前用户,自定义异常,白名单)
人生智慧的博客
03-14 7089
1 演示 先演示一波 (1)不携带token访问资源 (2)登录 (3)携带token访问资源 (4)注销 (5)注销后访问资源 (6)登录后再次访问资源 演示完毕,开始讲解 2 授权模式选择 本项目选择密码模式,原因如下, 同一个企业内部的不同产品要使用本企业的 oAuth2.0 体系。在有些情况下,产品希望能够定制化授权页面。由于是同个企业,不需要向用户展示“xxx将获取以下权限”等字样并询问用户的授权意向,而只需进行用户的身份认证即可。这个时候,由具体的产品团队开发定制化的授权界面,接收用
Spring Security Oauth2 JWT----单点登录、注销、续签的问题
weixin_46106066的博客
04-21 7402
什么是用户身份认证?  用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认 证表现形式有:用户名密码登录,指纹打卡等方式。 什么是用户授权?  用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没 有权限的资源将无法访问,这个过程叫用户授权。 单点登录 只要进行单点登录,就可以访问多个模块。  单点...
Spring Security Oauth2:RedisTokenStore()之JSON序列化
热门推荐
既无风雨也无晴
02-26 3万+
RedisTokenStore:Json序列化 一. 前言 Spring Security Oauth2 存储Token的方式有多种, 比如JWT、Jdbc(数据库)、Redis等,但是对于一个大型的分布式服务应用,Redis存储方式应该是最佳选择。 . 问题 我们使用默认的Redis存储方式,序列化到到Redis的数据如如下所示的的结果:图1这样数据,十分不直观,我们能不能把它们序列化成J...
spring security logout 实现基于redis存储的tokenstroe 的 app登出
u010681191的博客
08-26 1304
首先 都说自带默认 /logout 的登出地址。但是你不配置的话 默认是没有的 需要在 ResourceServerConfigurerAdapter的 public void configure(HttpSecurity http) throws Exception 增加 and() .logout() .lo...
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6920
文章目录一、将Jwt Token存入Redis、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
【SSO单点登录】JWT续签问题 && OAuth2.0 的refreshToken刷新机制
老男孩的架构路
10-14 2301
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端,前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这里就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端需要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token里边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
Spring Security OAuth2 单点登录和登出
shpunishment的博客
05-03 1万+
文章目录1. 单点登录1.1 使用内存保存客户端和用户信息1.1.1 认证auth-server1.1.2 子系统 service-11.1.3 测试1.2 单点登录流程1.2.1 请求授权码,判断未登录,返回登录页1.2.2 登录成功,继续请求授权码,未被资源所有者批准,返回批准页面1.2.3 资源所有者批准,重定向返回授权码1.2.4 客户端获取到授权码,请求Token1.2.5 获取到...
华为云平台X-Auth-Token怎么获取
最新发布
07-08
在华为云平台,要获取X-Auth-Token,您需要进行以下步骤: 1. 使用POST方法向以下URL发送请求:https://iam.huaweicloud.com/v3/auth/tokens 2. 在请求的header设置Content-Type为"application/json;charset=utf8" 3. 在请求的body设置请求参数,包括"auth"字段和"identity"字段。其,"auth"字段包含"identity"和"scope"两个子字段,"identity"字段包含"methods"和"password"两个子字段,"methods"字段设置为["password"],"password"字段包含"user"和"password"两个子字段,分别设置为您的用户名和密码。"scope"字段包含"project"子字段,"project"字段包含"id"子字段,设置为您的项目ID。 4. 发送请求后,从响应的header获取X-Subject-Token字段的值,即为X-Auth-Token。 请注意,获取X-Auth-Token需要进行身份验证,确保您的用户名和密码正确,并且具有相应的权限。此外,建议在实际应用使用SDK或API工具来进行身份验证和获取X-Auth-Token,以便更方便地使用华为云平台的服务。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值