OAuth2.0刷新Token,正在操作时,Token不过期

最新推荐文章于 2024-05-27 20:07:33 发布
最新推荐文章于 2024-05-27 20:07:33 发布
阅读量5.7k 收藏 3
点赞数 2
分类专栏: 技术栈 文章标签: OAuth2.0 Token refresh_token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cc007cc009/article/details/106820201
版权
文件名称版本号作者qq版本
OAuth2.0刷新Tokenv1.0.0学生宫布8416837SpringBoot 2.2.6
SpringCloud Hoxton.SR4

文章目录

需求

  • 保证页面不会在正在操作中却弹出Token过期,这样体验不好。除非好久(设定的阈值)没有操作页面了,显示已过期才合理。

假设你已经搭建好OAuth2.0服务器

  • 登录(授权)成功后,响应数据长这个样子: 在这里插入图片描述
名词释义备注
access_token作为消费服务的通行证,逾期会失效
refresh_token用来换取新的access_token,会失效,但一般应该设置比access_token晚些失效
expires_in多久过期(秒)可在数据库设置或者在令牌管理器代码设置
  • 但如果正在操作中,令牌(通行证)突然到期失效了,那多尴尬
  • 因此需要在即将过期或已经过期的时候,刷新Token。——前提是refresh_token没有过期且合法。

解决办法

  • 前提:可以成功获取Token,并成功在客户端维护Token、过期时间
1)定时器
  • 原理 计算Token过期的时间点,开始计时,当当前时间点接近过期点的时候,执行刷新Token操作。要保证每个页面都可能触发计时器,且只能有一个,当页面刷新时,计时器不受影响。
  • 代码 节选
// 从存储获取过期时间
computed: mapGetters(['userInfo', 'isLock', 'isCollapse', 'website', 'expires_in']),
... ...
// 这里是aJax请求拦截器
// 如果即将过期,则调用刷新API,参数是refresh_token, grant_type:授权类型,即refresh_token, scope;并锁住刷新接口
          if (this.expires_in <= 1000 && !this.refreshLock) {
            this.refreshLock = true
            this.$store
              .dispatch('RefreshToken')
              .catch(() => {
                clearInterval(this.refreshTime)
              });
              
            this.refreshLock = false
          }
          // expires_in递减
          this.$store.commit("SET_EXPIRES_IN", this.expires_in - 10);
... ...

this.$store.dispatch('RefreshToken'):调用刷新 API

2)请求拦截式,每次请求权限接口都判断是否可以刷新Token了
  • 代码 节选
// 这里是aJax请求拦截器
window.isRefreshing = false
... ...
 // futureTime:Token在将来某个时间点过期
  if (!window.isRefreshing && futureTime && (futureTime - new Date().getTime() ) <= EXPIRED_IN_THIS_SECONDS ) { // 如果expires_in_time eq 0,则很可能是初次登陆,从而勿须刷新令牌 假如设置还差6秒过期
    // 锁 避免多个调用重复刷新
    window.isRefreshing = true
    // 刷新Token

如果同时调用多个接口,而此时Token已经过期,但refresh_token没有过期的话,最先刷新的接口可以执行成功,另外的接口不会刷新,会导致请求失败。但是之后会正常,因为已经刷新了。见下图:

Mon 06 Mon 13 请求1刷新中 请求路上 请求3请求中,但是木有Token 请求2 时序图

文章目录

学生宫布
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OAuth2.0refresh token
wenlei_zhouwl的专栏
02-13 4万+
转载自http://www.html-js.com/?p=1297 最近看人人网的OAuth认证,发现他是OAuth2.0,之前一直看的是新浪的OAuth,是OAuth1.0. 二者还是有很多不同的,主要的不同点在access token的获取方式. OAuth1.0的access token获取过来之后,就可以存到数据库里,然后长期使用,因为它有效期很长,通常有效期
Oauth2设置令牌过期间accessTokenValiditySeconds,在代码中怎么判断是否过期
qq_37795502的博客
09-07 8417
我们再配置ouath2的候都会配置资源认证的服务器 其中在配置授权服务器断点会配置令牌的存储:tokenStore(tokenStore) ,这个令牌存储中会存令牌的过期间,cliend_id,name等信息,一般默认使用InMemoryTokenStore()存储。我们可以在AuthorizationServerEndpointsConfigurer类中查看区别判断token的存储代码逻辑 有了上面的前提后,我们直接在AuthorizationServerEndpointsConfigure
OAuth2.0 token的自动续期问题
最新发布
xiao_ying_bo_ke的博客
05-27 813
OAuth2.0token自动续期源码分析及实现
SpringSecurity OAuth2 配置 token有效
qq_31683775的博客
09-08 3287
SpringSecurity OAuth2 配置 token有效
Spring Security OAuth2 Redis存储token refresh_token永不过期问题详解
OceanSky的专栏
07-27 1万+
1.先看几个实现类,然后再看源码分析这样会更清晰 OAuth2AccessToken接口的默认实现是DefaultOAuth2AccessToken类(自带过期间属性) OAuth2RefreshToken接口的默认实现是DefaultOAuth2RefreshToken类(不带过期间属性) ExpiringOAuth2RefreshToken接口父接口是OAuth2RefreshToke...
Oauth2 中 access_tokenrefresh_token过期
霸王龙i的博客
01-07 2万+
org.springframework.security.oauth2.provider.token.DefaultTokenServices 在这个类
Oauth2.0实现token刷新功能
康小虎的博客
07-13 9928
1、Oauth2.0简介 Oauth2.0是一个授权协议,提供了一种解决用户资源共享问题的思路,它不是一种实现。对于java来说,我们可以利用Spring Security OAuth2来实现。 Oauth2.0实现的最基本的思路: 上图的名词解释: 几种授权模式: 授权码模式基本思路: 微服务架构下的序图: 2、刷新token (1)基本思路 首先我们要明白,在授权码模式下,在网关请求获取access token候,接口会返回一个access token和一个refresh token,我
Spring Security OAuth2实现多用户类型认证、刷新Token
susu1083018911的博客
03-07 3748
loadUserByUsername携带多个参数
shopify-token:轻松获取Shopify API的OAuth 2.0访问令牌
04-27
安装npm install --save shopify-token原料药该模块导出一个类,该类的构造函数带有一个options对象。new ShopifyToken(options) 创建一个新的ShopifyToken实例。争论options一个普通JavaScript对象,例如{ apiKey: ...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
oauth2.0 access_token资源认证
01-10
Oauth2.0连接oracle数据库,进行资源认证,生成access_token.
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
通过winform使用httpclient客户端调用webApi接口,api使用oauth2.0权限控制,调用接口需要进行token获取认证、
nodejs实现OAuth2.0授权服务认证
12-23
OAuth是一种开发授权的网络标准,全拼为open authorization,即开放式授权,最新的协议版本是2.0。 举个栗子: 有一个”云冲印”的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让”云...
Spring oauth2.0 刷新token后设置原token5分钟内继续可用
06-01 3799
默认情况下刷新token后原token会立马不可用。但是在某些情况下我们需要刷新token后原token在一定间内继续可用(例如微信的刷新token)。 通过查看DefaultTokenServices中的刷新token方法refreshAccessToken可以看到生成新的token后会调用removeAccessTokenUsingRefreshToken方法,此方法默认会删除存储的相关token信息 private void removeAccessTokenUsingRefreshToken
全网最全JAVA面试八股文,终于整理完了
hahazz233的博客
06-24 1万+
又到一年金三银四面试跳槽季,你准备好了吗?今天为大家整理了目前互联网出现率最高的大厂面试题,所谓八股文也就是指文章的八个部分,文体有固定格式:由破题、承题、起讲、入题、起股、中股、后股、束股八部分组成,题目一律出自四书五经中的原文。而JAVA面试八股文也就是为了考验大家的JAVA基础功底,所以强烈建议背诵全文。(1) 原子性原子性指的是一个或者多个操作,要么全部执行并且在执行的过程中不被其他操作打断,要 么就全部都不执行。(2) 可见性可见性指多个线程操作一个共享变量,其中一个线程对变量进行修改后,其他线
Oauth2.0实现token刷新功能(二)
康小虎的博客
04-22 4316
文章目录前言直接上代码总结 前言 之前写过一篇“Oauth2.0实现token刷新功能”,发现大家阅读的还是特别多,那个是基于Spring Cloud实现的刷新功能,现在将它改为基于普通过滤器实现token刷新。 直接上代码 基本思路还是跟之前一样,过滤器拦截请求验证tokentoken过期后请求单点登录服务器换取新的access_tokenrefresh_token,将两个token放到过滤器返回体的头部。从而不影响本次请求,同还能在本次请求的过程中做到无痕刷新token。 @Override
OAuth2.0refresh_token更新access_token令牌
张俊杰 的博客
02-07 6262
概述 使用oauth2,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。只需修改认证服务器的配置,添加refresh_token的授权模式即可。 修改授权服务器配置,增加refresh_token配置 ​ @Autowired private UserService userService; @Override public void configure(AuthorizationServerEndpointsConfigurer endpoint
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 17万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
oauth2.0配置token
08-26
OAuth2.0配置token的步骤可以通过以下方式实现。首先,你可以使用Spring Security OAuth2来实现。在Java中,可以通过引入Spring Security OAuth2的依赖来使用。然后,需要在你的应用程序配置文件中添加相关的OAuth2.0配置,包括授权服务器的URL、客户端ID和客户端秘钥等信息。通过配置这些信息,你的应用程序可以与授权服务器进行通信,并获取访问令牌。 在使用HttpClient客户端调用Web API接口,如果API使用OAuth2.0权限控制,你需要在调用接口之前获取访问令牌进行认证。你可以通过向授权服务器发送认证请求来获取访问令牌,这通常涉及到向授权服务器提供你的客户端ID、客户端秘钥、授权类型等信息。一旦获得了访问令牌,你可以将其包含在HTTP请求的头部或参数中,以便API能够验证你的请求并授予访问权限。 另外,在实现OAuth2.0token刷新功能方面,你可以通过编写过滤器来实现。在过滤器中,你可以检查访问令牌的过期间,并在过期前进行刷新刷新访问令牌的过程,通常涉及向授权服务器发送刷新请求,并提供刷新令牌以获取新的访问令牌。一旦获得了新的访问令牌,你可以更新原有的访问令牌并继续进行API调用。 需要注意的是,具体的OAuth2.0配置和实现方式可能因不同的框架或库而有所差异。因此,你需要根据你所使用的具体工具和技术来查阅相关文档并进行相应的配置和实现。希望以上信息能对你有所帮助。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Oauth2.0实现token刷新功能](https://blog.csdn.net/qq_41157896/article/details/118697419)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制](https://download.csdn.net/download/gc101312/82935655)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Oauth2.0实现token刷新功能(二)](https://blog.csdn.net/qq_41157896/article/details/124351822)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值