Spring Security Oauth2源码BUG认证并发用户身份信息混乱问题

最新推荐文章于 2024-02-29 09:53:04 发布
最新推荐文章于 2024-02-29 09:53:04 发布
阅读量1.8k 收藏 20
点赞数 3
分类专栏: 工作填坑记 文章标签: java spring oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yunwei_Zheng/article/details/115682423
版权

1.背景:

随着业务的增长,线上系统qps越来越高,起初市场同事和客户偶尔会反馈用户看到的信息出现的不是自己的信息,但是重新刷新之后就好了,当时我们就对这个问题进行分析,但是都是无疾而终,没有找到问题所在,随着用户增长的基数越来越大,出现这个问题的现象也就更加频繁,所以我们团队对于这个线上事故就非常重视,开始对于整个请求链路分析,我们用户端使用的是一款我们自研的客户端,当时我们分析出来可能存在的几个原因:

  • 同一个客户端,不同用户登录,本地缓存的token混乱。
  • 客户端因为某种特定场景下拿到了别人的token,或者是登录接口直接颁发的token就是错的
  • 接口请求token认证过程中,由于线程的原因,导致线程中用户信息错乱(分析过Spring security oauth2的源码,请求接口是会验证token的有效性——通过访问认证服务器去识别token的有效性,并采用的ThreadLocal模式存储用户身份信息),这边错乱的信息主要是因为,接口请求结束的时候ThreadLocal信息没有清理导致的(tomcat采用线程池)。

2. 验证阶段

首先我们上线了一个紧急修复措施,写了一个统一拦截器,拦截接口请求,验证token中的身份信息(jwt的token认证方式,可以通过payload解析出来用户身份-Base64解码)和Spring security oauth2 认证后获取到身份信息比较,对比成功的放行,失败的拦截,同时打印相关日志。具体代码如下:

@Slf4j
@Component
public class RequestInterceptor extends HandlerInterceptorAdapter {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 框架集成方法,可以自行源码,其实就是threadLocal 方式存储用户身份信息
        String clientId = (String)SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        if (checkToken(request, clientId)) {
            return super.preHandle(request, response, handler);
        }
        Map<String, Object> map = Maps.newHashMap();
        map.put("code", 40412);
        map.put("message", "请退出,重新登录!");
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().write(JSON.toJSONString(map));
        return false;
    }

    private boolean checkToken(HttpServletRequest request,
最低0.47元/天 解锁文章
KingdomCoder
关注
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
springsecurity 登录失败_Spring Security 实战干货: 401和403状态
weixin_39921131的博客
12-09 1260
1. 前言最近几篇我对Spring Security用户认证流程进行了分析,同时在分析的基础上我们实现了一个验证码登录认证的实战功能。当认证失败后交给了AuthenticationFailureHandler来进行失败后的逻辑处理。今天来谈谈两个和认证授权息息相关的两个状态401和403以及它们如何在Spring Security融入体系中的。2. 401 未授权我在RFC 7235[...
Spring Security获取用户信息异常,多线程获取用户报错解决方式
qingpark的博客
04-20 467
MODE_INHERITABLETHREADLOCAL工作模式,其存储载体为InheritableThreadLocal,InheritableThreadLocal继承ThreadLocal,多了一个特性,就是在创建子进程的时候,会自动的将父进程中的数据复制到子进程中去,实现了子进程能够获取父进程数据的功能。所以,如果使用的是Spring Security 5.0及以上版本,且需要在异步线程获取用户信息的时候,可以考虑修改SecurityContextHolder的默认策略。
Spring Security Oauth服务器并发情况下获取用户信息错乱
爱上编程2705
02-29 1048
在该子类中,可以看出setAccessToken并没有做并发控制,简而言之是当A用户设置了token准备访问url获取用户信息时候,B用户进来修改了该值变为Btoken,然而A用户线程又获取到CPU,开始访问了url链接,拿着已被修改为B的token 值获取了 B的用户信息。当用户A与用户B分别持有一个合法的令牌token 访问同一个资服务器时,会间接性的出现,用户A拿着A的合法token 却获取到了用户B的用户信息,B用户相反而之。在这里出现并发问题的主要是在getmap这个函数。
19.SpringSecurity存在的问题及解决方案
自能生羽翼,何必仰云梯
09-14 1037
一般情况下 ,Spring Security 应用在一个单体项目中,此时只存在一个独立的项目,你访问一个资,需要输入用户名和密码就行了随着软件环境和需求的变化,软件的架构通常都会由单体结构演变成具有分布式架构的分布式系统。而分布式系统的每个服务都会有认证、授权的需求。如果每个服务都实现一套认证逻辑,就会非常冗余并且不现实。而针对分布式系统的特点,一般就会需要一套独立的第三方系统来提供统一的授权认证服务。
Spring Security OAUTH2 获取用户信息
热门推荐
m0_37834471的博客
08-19 7万+
1.user-info-uri 与 token-info-uri 作用:二者皆是为了check token,并且顺带返回了用户信息。配置信息位置在资服务器上。 解释:下面代码列举的都是token-info-uri,user-info-uri不解释。user-info-uri原理是在授权服务器认证后将认证信息Principal通过形参绑定的方法通过URL的方式获取用户信息。当然它也有配套的Us...
Spring-Security-Oauth2第二篇之配置客户端
Little_fxc的博客
03-28 1万+
Spring-Security-Oauth2第二篇之配置客户端 文章目录Spring-Security-Oauth2第二篇之配置客户端1. 项目结构2. maven 依赖3. 使用 @EnableOAuth2Sso 注解安全配置3.1. 客户端安全配置3.2. 授权服务器核心代码3.3. 配置文件4. MVC 配置4.1. 客户端 API4.2. 客户端 MVC 映射4.3. 前端index.ht...
springsecurity登录时遇到的坑
XXX1238XGH的博客
06-09 634
使用springsecurity登录时,自定义AuthenticationProvider和AuthenticationProcessingFilter,在AuthenticationProvider的方法“authenticate”最后可能需要重新创建自定义UsernamePasswordAuthenticationToken对象,如果此处重新创建的UsernamePasswordAuthenticationToken对象与自定义AuthenticationProcessingFilter在“attem.
Spring Security OAuth2认证授权示例详解
08-25
主要介绍了Spring Security OAuth2认证授权示例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security OAuth2 实现登录互踢的示例代码
08-19
Spring Security OAuth2 是一个基于 OAuth2 协议的身份验证框架,提供了丰富的身份验证机制和授权机制。本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例代码,通过示例代码详细介绍了如何实现用户单一...
Spring security oauth
10-28
3. **OAuth2 endpoints**:如`/oauth/authorize`、`/oauth/token`等,用于处理OAuth相关的请求,如用户授权、令牌颁发等。 4. **Resource Server配置**:用于配置资服务器如何验证访问令牌,通常使用`@...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
Spring Security OAuth2是基于Spring Cloud/Spring Boot环境下使用OAuth2.0的解决方案,为开发者提供了全套的组件来支持OAuth2.0认证。然而,在开发过程中,我们会发现由于Spring Security OAuth2的组件特别全面,...
基于Java的Spring Security OAuth2框架测试设计
最新发布
06-01
码是基于Java开发的Spring Security OAuth2框架测试设计,包含58个文件,其中包括47个.java文件,3个.sol文件,2个.yml文件,2个.ftl文件,以及1个.md文件,1个.gitignore文件,1个.LICENSE文件和1个.xml文件。...
毕业设计Spring boot问题记录(后端三):springSecurity 登录时账号密码正确后,总是重定向至登陆页面,定义successHandler配置失效
MyYaip的博客
05-08 2378
原创博文,欢迎转载,转载时请务必附上博文链接,感谢您的尊重 kzhi报错信息 POSTMAN调试结果 控制台信息 2022-05-08 19:58:32.530 INFO 8160 --- [ restartedMain] o.s.s.web.DefaultSecurityFilterChain : Will secure any request with [org.springframework.security.web.context.request.async.WebAsyncManag
SpringSecurity框架登陆模块案例以及出现的重定向和403报错问题解决方式
qq_41174684的博客
05-13 3719
查看linux中的ip地址:ifconfig 为什么需要安全登陆模块,正常情况下,我们在系统的登陆页面要进行用户名和密码的验证,这个时候输入了正常的用户名和密码之后将会进入系统,但是实际上这种也是不安全的,不输入用户名和密码(不通过登陆)直接在浏览器中输入页面的路径也会进入系统,因此要控制这种不进行登陆就进入系统的情况,因此要在进入页面的时候判断用户是否是登陆了,如果是登陆状态就可以看,换句话说,...
Spring Security+OAuth2自定义异常处理
Charge8的博客
02-24 4904
Spring Security+OAuth2自定义异常处理
springsecurity认证和授权
qq_45098321的博客
02-22 564
springsecurity
使用Spring SecurityOAuth 2.0保护Spring微服务架构
最佳 Java 编程
06-09 940
“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。 每个开发人员都希望能够更快,更有效地进行构建以支持规模。 使用Spring构建微服务架构可以为您的架构增加弹性和弹性,这将使其优雅地失效并无限扩展。 借助Spring Security及其OAuth 2.0支持,您还...
servlet的优化
weixin_43521028的博客
10-10 397
反射api语法 UserServlet使用反射优化代码 service方法使用反射优化处理不同的请求 //重写了service方法,就不走doGet或doPost方法了 @Override protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //目标:实现一个servlet处理多个请求 //1.获取
微信获取token解决并发问题
02-10
微信的 token 是用来识别请求者身份的,因此在处理并发请求时需要特别注意。解决并发问题的方法可以采用以下几种: 1. 加锁:在多个请求同时对 token 进行请求的情况下,使用锁的机制,只允许一个请求同时进行 token 的获取操作。 2. 缓存:在微信获取的 token 有效期内,将它缓存在服务器上,避免每次请求都向微信请求 token。 3. 限流:设置请求频率限制,在每个时间段内最多允许请求一定数量的 token,以避免并发请求带来的压力。 通过采用这些方法,可以有效地解决微信获取 token 时的并发问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值