springsecurity+jwt+oauth2.0校验jwt的过期时间源码解读

最新推荐文章于 2024-05-27 20:07:33 发布
最新推荐文章于 2024-05-27 20:07:33 发布
阅读量2.7k 收藏 2
点赞数 3
分类专栏: 源码 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hero_is_me/article/details/121379444
版权

场景描述

  1. 笔者的项目架构采用的是springsecurity+jwt+oauth2.0架构,配置的多客户端校验权限获取jwt访问系统资源。
  2. 也就是说系统存在web,小程序,手机号三个用户体系,对应三个用户主表。
  3. 每个客户端在BaseClientDetails的access_token_validity和refresh_token_validity配置jwt的access_token和refresh_token的过期时间。
  4. 如下图:
  5. 读取数据库配置的客户端各字段属性,在上面的方法的中配置
    在这里插入图片描述
  6. 如下图在配置类中注入自定义的客户端,以此来达到各个客户端用户登录的过期时间分开定义。在这里插入图片描述
  7. 当然有人会说也可以在tokenService中定义过期策略,这个方法可行但是是全局的无法针对客户端分开配置。在这里插入图片描述
  8. 然而,配置项都正常配置了,实际测试却发现过期时间的实际效果与设置的始终不对,后来又发现不是完全对不上,是对上了一半。接下来就看看源代码里面发生了什么。

源码查看

  1. 网上的帖子基本上都围绕OAuth2AuthenticationManager#authenticate方法来解读,但是这个方法只解读了token本身的合法性和客户端,权限范围scope等。
  2. 在tokenServices.loadAuthentication(token),此方法里的readAccessToken对token进行了解密和过期校验,此处的校验笔者推测是校验配置在全局(上面提到的)里的过期时间。理由:调试期间在另一个方法校验了过期,并且返回客户端了过期提示,OAuth2AuthenticationManager的方法都没有走。
  3. 由此可见校验基于客户端的过期策略,会在OAuth2AuthenticationManager#authenticate方法这之前校验。在时间校验通过后才会在这里详细的校验权限范围和token的签名等。

在这里插入图片描述

经过调试发现
在JwtReactiveAuthenticationManager#authenticate方法里进行了客户端token的解析校验。
请添加图片描述
由于是maven里的jar不能写注释,故此处大概写下流程:

  1. JwtReactiveAuthenticationManager#authenticate先是从authentication获取了加密的token,继而使用ReactiveJwtDecoder jwtDecoder去解析它.
  2. NimbusReactiveJwtDecoder#decode方法调用JWTParser.parse(token)解出明文成JWT。
  3. NimbusReactiveJwtDecoder#decode调用validateJwt方法验证解析出来的JWT
    在这里插入图片描述
  4. 如上图validate校验JWT有四个实现类,这意味着有多个维度的校验,我们只看时间戳的校验(即过期时间的校验)
    在这里插入图片描述
  5. 下图中有关键的一步minus(this.clockSkew),此处的clockSkew字面翻译时钟偏移,这意味着springsecurity在校验过期时间的时候会在当前时间上减去这个时间偏移,默认是60秒,再和你设定的应该过期的时间点比较。计算后的时间节点如果在你设定的时间之后才会进入if,返回token失效。(例如,当前时间8:00,你设定一分钟过期,实际判定需要等到8:02才会返回token失效)。
    在这里插入图片描述
hero_is_me
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt判断token是否过期_SpringSecurity代码实现JWT接口权限授予与校验
weixin_39907658的博客
11-21 2352
通过笔者前两篇文章的说明,相信大家已经知道JWT是什么,怎么用,该如何结合Spring Security使用。那么本节就用代码来具体的实现一下JWT登录认证及鉴权的流程。一、环境准备工作建立Spring Boot项目并集成了Spring Security,项目可以正常启动 通过controller写一个HTTP的GET方法服务接口,比如:“/hello” 实现最基本的动态数据验证及权限分配,即实现...
验证服务:Spring Security + OAuth2.0 + JWT
02-21
更改日志2018.9.1版本升到2.0-SNAPSHOT ,要使用sb1.5.x版本,请切换到TAG 1.0-RELEASE Spring Cloud Security升级到Finchley.RELEASE ,Spring Boot由1.5.X升级到2.0.X。 < dependency> < groupId>org.spring...
权限管理SpringSecurity Oauth2整合JWT实战总结(三)
FlyingFish868的博客
03-26 1019
1、JWT 1.1、基本的认证机制 1) HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放RESTful API时,尽量避免采用HTTP Basic Auth。 2) Cookie Auth Cookie认证机制就是为
spring-security-oauth2 修改默认token失效时间
weixin_34503526的博客
10-28 1万+
1.先自定义 TokenServices方法 /** * <p>注意,自定义TokenServices的时候,需要设置@Primary,否则报错,</p> * * @return */ @Primary @Bean public DefaultTokenServices defaultTokenServi...
OAuth2.0 token的自动续期问题
最新发布
xiao_ying_bo_ke的博客
05-27 961
OAuth2.0 的token自动续期源码分析及实现
Springsecurity Oauth2 设置token的过期时间
热门推荐
qq_44605317的博客
06-17 2万+
1.设置token的过期时间 如果我们是从数据库来读取客户端信息的话 我们只需要在数据库设置token的过期时间 client_id:客户端的id resource_ids:资源服务器的id,多个用,(逗号)隔开 client_secret:客户端的秘钥 authorized_grant_types: ...
Spring Security(4) 整合JWT
郑清
10-23 7226
一、前言 本篇文章将讲述Spring Security 简单整合JWT 处理认证授权 基本环境 spring-boot 2.1.8 mybatis-plus 2.2.0 mysql 数据库 maven项目 Spring Security入门学习可参考之前文章: SpringBoot集成Spring Security入门体验(一) https://blog.csdn.net/qq_382255...
Oauth2设置令牌过期时间accessTokenValiditySeconds,在代码中怎么判断是否过期
qq_37795502的博客
09-07 8475
我们再配置ouath2的时候都会配置资源认证的服务器 其中在配置授权服务器断点时会配置令牌的存储:tokenStore(tokenStore) ,这个令牌存储中会存令牌的过期时间,cliend_id,name等信息,一般默认使用InMemoryTokenStore()存储。我们可以在AuthorizationServerEndpointsConfigurer类中查看区别判断token的存储代码逻辑 有了上面的前提后,我们直接在AuthorizationServerEndpointsConfigure
Spring Security采用JWT验证时filter异常处理和JWT续期问题
hey_lie的博客
11-03 1933
1.spring security JWT过滤器异常自定义处理 2.spring security 认证和授权时的异常自定义处理 3.JWT 续期问题
spring security oauth2 jwt过期时间不准原因分析以及解决办法
qq1010830256的博客
11-06 3095
源码跟踪spring security oauth2框架中jwt过期时间不准的问题
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Spring Security OAuth过期的解决方法
09-07
主要介绍了Spring Security OAuth过期的解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权
01-23
这个项目“Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权”旨在构建一个强大的、分布式的认证与授权系统,以保护微服务架构中的各种服务。下面我们将深入探讨其中涉及的关键技术点。 1. **Gateway**...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
spring boot +spring Security+ jwt+oauth2.rar
06-13
Spring Boot、Spring SecurityJWTOAuth2 是现代Web应用程序开发中的关键组件,它们共同构建了一个安全、高效的身份验证和授权框架。在这个项目中,我们看到一个整合了这些技术的实战应用,下面将详细阐述这些...
springboot 集成jwt设置过期时间_spring boot 2 集成JWT实现api接口认证
weixin_39677106的博客
11-26 615
一、JWT的数据结构JWT由header(头信息)、payload(有效载荷)和signature(签名)三部分组成的,用“.”连接起来的字符串。JWT的计算逻辑如下:(1)signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)其中私钥secret保存于服务器端,不能...
oauth2.0为什么需要设置过期时间以及刷新时间的一些理解
weixin_42112451的博客
11-12 1799
1.为什么需要设置过期和刷新时间 如果令牌不过期,那么系统被第三方攻击的可能性会大幅度提高,肯定不可取。令牌如果永远不刷新同理。 2.过期时间与刷新时间的设置 一般来说刷新时间需要大于过期时间,否则刷新时间就失去了意义,当用户登录后令牌还未过期的情况下,令牌就被刷新了,此时客户的令牌已被认为无效。 纯属个人理解,谢谢。 ...
JWTSpring Security OAuth2结合使用
new_ord的博客
06-26 4300
OAuth 2.0 是行业标准的授权协议。OAuth 2.0 专注于客户端开发人员的简单性,同时为 Web 应用程序、桌面应用程序、移动电话和客厅设备提供特定的授权流程。OAuth 授权服务器负责对用户进行身份验证并发布包含用户数据和适当访问策略的访问令牌。下面我们将使用Spring Authorization Server构建一个简单的授权服务器。让我们从OAuth2授权服务器配置实现开始。...
spring security+jwt+oauth2.0 pdf
07-13
Spring Security可以与JWTOAuth 2.0结合使用,以提供更强大的身份验证和授权功能。使用JWT作为身份验证机制,可以在用户登录成功后生成一个JWT令牌,并将其加入到HTTP请求的Header中。服务端可以使用JWT中的信息,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值