OAuth2 refreshToken时只获取到用户名的问题解决

最新推荐文章于 2023-12-27 01:56:16 发布
最新推荐文章于 2023-12-27 01:56:16 发布
阅读量207 收藏
点赞数
文章标签: java OAuth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/houjx3/article/details/133853455
版权

1. grant_type为refresh_token时, authentication.getPrincipal()只获取到了字符串类型的用户名(这种情况下生成的access_token是没有权限的,访问不了正常的有权限校验的接口) ,  跟踪源码发现 是 DefaultUserAuthenticationConverter#extractAuthentication中的userDetailsService为空导致只获取到了用户名,  源码如下: 

解决方式参考如下blog(我们项目里是jwt,就只参考了jwt的做法, 别的做法不知道行不行的通):  https://www.eolink.com/news/post/47734.html

      

2.第一个问题改完之后,第二个就是在框架里 principalObj 是 UserDetails 类型的, 而我们项目代码中写的是强制转换为了一个自定义类型CustomUser(鬼知道原来的开发为啥这么写) ,该类型并未实现UserDetails接口, 所以强制转换失败了;

然而理论上, 此处我们应该转换为UserDetailsService的自定义实现类中loadUserByUsername方法返回的类型,不可以强制转换为其他类型;

所以为了不违背原代码的意愿的情况下, 将代码改为如下, 测试后很完美.

houjx3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security +oauth2(授权服务和资源服务分离) 解决getPrincipal只返回用户名问题
sehor2012的博客
11-26 2778
spring security +oauth2(授权服务和资源服务分离) 解决Principal只返回用户名问题
oauth2获取access_token1
08-08
OAuth2 获取 access_token 的几种方式 在 OAuth2 协议中,获取 access_token 是一个非常重要的步骤。 access_token 是客户端访问资源服务器的唯一凭证,用于身份验证和授权。下面将详细介绍 OAuth2 获取 access_...
authentication.getPrincipal()为什么总是返回username而不是UserDetails的实现类
qq_41992429的博客
12-21 2997
authentication.getPrincipal()为什么总是返回username而不是UserDetails的实现类 关注SecurityAuthenticationProvider的authenticate方法的返回值,你返回什么,authentication.getPrincipal()就得到什么,很合理!
spring security oauth2 自动刷新续签token (refresh token)
热门推荐
m0_37834471的博客
10-20 6万+
1.引言 前提:了解spring security oauth2的大致流程(对过滤器的内容有一定的了解) 主要思路: 首先用过期token访问受拦截资源 认证失败返回401的候调用异常处理器 通过异常处理器结合refresh_token进行token的刷新 刷新成功则通过请求转发(request.getRequestDispatcher)的方式再次访问受拦截资源 2.源码分析核心过滤器...
OAuth2 JWT token保存用户ID导致refresh_token缺少用户信息问题
Jonee`s blog
10-12 1516
问题出在 DefaultUserAuthenticationConverter Line:52行 this.userClaimName 为固定值 "user_name" 所以重写方法convertUserAuthentication,把user_name也加进去就解决了。 private static class CustomerUserAuthenticationConverter extends DefaultUserAuthenticationConverter {
spring security oauth2 非账号密码登陆后,刷新token获取不到用户信息bug解决方法,及bug原因简单猜测
我是死宅萝莉控的博客
10-26 1527
项目环境 spring boot - springsecurityoauth2 -mybatis-plus bug出现情况 在接入第三方登陆后,某次测试发现第三方登陆的用户,刷新token接口500了,查看日志是空指针异常,debug调试,发现是刷新token没有获取用户信息导致空指针异常,但是登陆一切正常,并且正常获取到了用户信息 解决过程 refresh_token 的整个过程都是security框架完成的,我没有对这个过程进行修改,因此猜测是登陆就有问题,登陆与securit..
关于 oauth2 jwt authentication.getPrincipal 获取的是用户名问题
Firstmetcs的博客
05-06 4864
第一种方案重写转换类(DefaultUserAuthenticationConverter) public Map<String, ?> convertUserAuthentication(Authentication authentication) { Map<String, Object> map = new HashMap<>(1); //继承UserDetails的对象 Object o = authentication.
Spring cloud Oauth2的密码模式数据库方式实现登录授权验证
12-09
通常,我们会创建两个表:`oauth_client_details`存储客户端信息,`oauth_access_token`和`oauth_refresh_token`存储令牌信息。此外,还需要一个用户表(如`users`和`authorities`)用于存储用户登录信息。 5. **...
springBoot-springSecurity-OAuth2
最新发布
01-16
3. **授权流程**:用户登录后,客户端通过OAuth2的授权码(Authorization Code)或隐式(Implicit)流程获取访问令牌(Access Token)。 4. **访问控制**:在资源服务器上,使用OAuth2的访问令牌验证用户请求,保护...
springcloud + 前后端分离实现 Oauth2
04-07
- **刷新令牌(Refresh Token)**:当访问令牌过期,客户端可以通过刷新令牌获取新的访问令牌,保持用户会话的连续性。 - **安全配置**:确保所有的API接口都正确配置了安全约束,防止未授权访问。 - **错误处理...
oauth2:Elixir OAuth 2.0客户端库
02-03
4. **获取访问令牌**: 成功请求后,服务提供商会返回一个包含访问令牌(access token)和刷新令牌(refresh token)的响应。访问令牌用于执行受保护的API调用,而刷新令牌则用于在访问令牌过期后获取新的访问令牌。 ...
微服务结合Oauth2资料.zip
12-26
在实际应用中,可能还会涉及到刷新令牌(Refresh Token)的概念。当JWT过期,客户端可以使用刷新令牌向授权服务器请求新的JWT,而不是重新进行完整的认证过程。 代码实现这部分功能,通常会用到Spring Boot和...
oauth2,手册api.
02-21
此外,还提供了刷新令牌(Refresh Token)机制,当访问令牌过期,客户端可以使用刷新令牌来获取新的访问令牌,而不必再次让用户进行授权。 RFC 6749文档详细描述了OAuth 2.0的协议流程、错误处理、安全考虑、扩展...
Oauth2开发文档
11-01
- **意义**:OAuth2.0通过引入新的概念和技术手段,有效解决了传统认证机制中存在的安全性和灵活性问题。它允许资源拥有者向第三方应用授予有限的访问权限,同确保敏感信息的安全性。 #### 二、术语中英对照及...
oauth2密码模式mysql模式
08-13
4. **令牌生成**:如果验证成功,授权服务器会在MySQL数据库中创建或更新相关的访问令牌和刷新令牌(Refresh Token,用于获取新的访问令牌)记录,并返回访问令牌给客户端。 5. **资源访问**:客户端使用获取的访问...
python-docx 如何获取当前字号_spring oauth2如何获取当前登录用户信息
weixin_39822443的博客
11-26 118
使用spring oauth2框架做授权鉴定。想获取当前用户信息怎么办?我们知道spring oauth2是基于spring security的实现的。spring security可以通过SecurityContextHolder.getContext().getAuthentication().getPrincipal()获取到当前用户信息。而spring oauth2通过SecurityCo...
OAuth 2.0 中的 refresh_token 和它的重要性
禅与计算机程序设计艺术
12-27 1389
1.背景介绍 OAuth 2.0 是一种授权机制,它允许第三方应用程序访问用户的资源,而无需获取用户的凭据。这种机制通常用于在网络上进行身份验证和授权。在 OAuth 2.0 中,refreshtoken 是一种特殊类型的访问令牌,用于在访问令牌过期之前重新获得新的访问令牌。在本文中,我们将讨论 refreshtoken 的重要性,以及如何在 OAuth 2.0 中实现它。 2.核心概念与联系...
OAuth2.0用refresh_token更新access_token令牌
张俊杰 的博客
02-07 6410
概述 使用oauth2,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。只需修改认证服务器的配置,添加refresh_token的授权模式即可。 修改授权服务器配置,增加refresh_token配置 ​ @Autowired private UserService userService; @Override public void configure(AuthorizationServerEndpointsConfigurer endpoint
OAuth2授权码模式:获取access_token详解
OAuth 服务器收到请求后,验证参数并处理授权码,如果验证通过,将生成并返回一个 access_token 和可能的 refresh_token(用于后续的刷新操作)。客户端获取这些令牌后,就可以在后续与资源服务器交互使用它们,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值