springboot1.5.21的bug导致高并发场景下一个用户token解析成另一个用户

最新推荐文章于 2024-03-09 22:38:35 发布
置顶 最新推荐文章于 2024-03-09 22:38:35 发布
阅读量1.8k 收藏 1
点赞数 3
分类专栏: java J2EE spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jshayzf/article/details/97890272
版权
在高并发场景下,SpringBoot 1.5.21的一个bug可能导致用户Token错误地解析为其他用户。问题出现在`UserInfoTokenServices`类的线程安全性问题。通过自定义`UserInfoTokenServices`和`OAuth2ClientContext`,使用`ThreadLocal`来存储`accessToken`,可以避免这个问题。修复方法包括创建自定义的`CustomizedOAuth2ClientContext`,用以确保每个线程拥有独立的`accessToken`实例。
摘要由CSDN通过智能技术生成

SpringBoot bug在org.springframework.boot.autoconfigure.security.oauth2.resource.UserInfoTokenServices.java Line:144

private Map<String, Object> getMap(String path, String accessToken) {
   if (this.logger.isDebugEnabled()) {
      this.logger.debug("Getting user info from: " + path);
   }
   try {
      OAuth2RestOperations restTemplate = this.restTemplate;
      if (restTemplate == null) {
         BaseOAuth2ProtectedResourceDetails resource = new BaseOAuth2ProtectedResourceDetails();
         resource.setClientId(this.clientId);
         restTemplate = new OAuth2RestTemplate(resource);
      }
      OAuth2AccessToken existingToken = restTemplate.getOAuth2ClientContext()
            .getAccessToken();
      if (existingToken == null || !accessToken.equals(existingToken.getValue())) {
         DefaultOAuth2AccessToken token = new

最低0.47元/天 解锁文章
njyzf
关注
专栏目录
SpringBoot 系列教程(七十二):SpringBoot2.x整合Swagger2异常 For input string: "" at java.lang.NumberF
Thinkingcao的专栏
11-26 898
一、Swagger环境 springfox-swagger-ui 2.9.2 swagger 2 2.9.2 springboot 2.1.3.RELEASE 二、异常描述 在访问swagger首页时 三、异常信息 2019-11-26 16:08:10.145 WARN 119264 --- [nio-8080-exec-9] i.s.m.p.AbstractSerial...
解决Spring Security Oauth资源服务器并发情况下获取用户信息错乱问题
qq_38226693的博客
07-31 2125
解决Spring Security Oauth资源服务器并发情况下获取用户信息错乱问题问题描述项目工程源码分析解决方案1,修改源码2,添加新的子类实现,并作为新bean注入总结 问题描述 当用户A与用户B分别持有一个合法的令牌token 访问同一个资源服务器时,会间接性的出现,用户A拿着A的合法token 却获取到了用户B的用户信息,B用户相反而之。 项目工程 代码使用了redis 作为token 存储,资源服务器通过配置 security: oauth2: resource: us
【三十】springboot项目上高并发解决示例
最新发布
weixin_56995925的博客
03-09 4606
springboot项目上高并发解决示例
python token 访问控制_用户登录使用jwt实现token认证,用户模块分离为一个系统。假如有三个子业务系统,分别登录了,怎么控制每个子系统的注销?...
weixin_39587010的博客
11-29 205
1)思考一下,为什么用 jwt 实现 token,而不是其他的 token 类型?使用 jwt 做为 token,那么在验证 token 的过程中,不需要和用户模块交互,降低了用户模块的访问压力。但是 jwt 的缺点也很明显,无法revoke token,所以一般会将 token 超时的时间设置的比较短。2)是否需要 revoke token?如果需要通过 revoke token 的方式来注销用...
【圈友app】解析token的两种方法:工具类/拦截器—人脸识别设置头像、完善用户信息
四季轮换叶,一路招摇胜
04-09 1938
【圈友app】解析token的两种方法:工具类/拦截器—人脸识别设置头像、完善用户信息
记录因为token导致的问题,排查代码报错思路
前端如逆水行舟...
08-28 732
必须刷新才能得到数据?本地存储和vuex的使用出现问题,有意思的是token是空的,那获取用户信息请求失败了也是理所应当的了,那token呢?发现token在本地是有的。。。
Springboot(2.1.1)(1.5.21)配置监控
龚道松
08-17 228
访问页面 localhost:8080/actuator/loggers (1.5.21) (1.5.21)访问 案例地址:https://gitee.com/gongdaosong/Springboot-Security.git
IDEA快速搭建一个SpringBoot Web项目、注入数据、单元测试、整合swagger
echoes_yu的博客
09-30 359
spring boot其实不是什么新的框架,它的设计是为了让你尽可能快的跑起来,它是基于Spring应用初始搭建,配置简洁明了。 一、创建Spring Boot 项目 1、选择File>New>project>Spring Initializr ,选择next 2、填写基本信息,继续next 3、选择Web>Spring Reactive Web 4、...
高并发系统设计 -- 登录系统设计
qq_61039408的博客
01-11 1222
在我们的前后端分离的分布式架构中,有很多代理层(例如SpringCloud GateWay),我们如果用sessionId来验证的话,那么我们前端发过来请求之后,代理要拿到sessionId,拿到sessionId之后要把它传给我真正的服务,而sessionId在传递的过程中会耗费大量的资源。并且如果我们真正的服务是集群部署的话,那么还要实现sessionId的共享,把sessionId拷贝多份。
spring security oauth2 资源服务/客户端无法正确获取权限
路过君的博客
08-05 8423
异常现象 当资源服务使用token-info-uri校验token时无法获取全部的授权权限,只能获取其中一个权限,使用user-info-uri则可以获取全部的授权权限 spring security 版本2.3.8 资源服务配置 security: oauth2: client: client-id: client1 client-secret: client1pwd access-token-uri: 'http://localhost:11000/oau
解决:并发 获取token值被覆盖,防止重复获取token
T
12-12 4676
在调用接口是 接口里是有token的 但是 如果并发 token值被覆盖,就会造其他接口报错, 其实有很多办法 比如 存放到redis 或者数据库里 但是token有过期时间 token会失效 所以需要更新,这样的其实比较 费事的, 解决: 其实一个定时任务就可以解决 首先写个静态方法 获取 token 加上定时器让他2分钟或者1分钟执行一次 ,这样也不用担心token会失效了,因为我每个2分...
Spring Cloud踩得坑之org.springframework.web.client.HttpClientErrorException: 404 null异常处理
答案的博客
03-14 4469
除去你写的请求服务端名称有问题外! 还有一个坑就是你的服务端配置了context-path 或者server- path 去掉即可解决 如果非得配置, 参考https://blog.csdn.net/hubo_88/article/details/80684339或者https://blog.csdn.net/zhuchuangang/article/details/...
基于Springboot框架的并发实现
yang770840976的博客
06-15 4752
前言:导师的一个小项目,需求是给两个高请求的接口做一下并发,博主半路出家,十分费劲的搞出了这个并发,但是后来有学弟突然发现了springboot里面内置了tomcat,本身就可以实现并发了,具体的原理和性能我还在看,但是感觉光从实现路径上来说比我这个要方便好多。 整体框架: 在原生springboot框架(controller层、entity层、mapper层、service层)的同级目录下(同不同级无所谓只要能访问到就行)加上bean文件夹和utils文件夹,用来放一些项目需要的工具类、其他类,这里我们主
oauth2使用授权码模式(authorization code)获取access_token
吴国凯的博客
05-05 3万+
oauth2获取access_token的几种方式: 简化模式(implicit):在redirect_url中传递access_token,oauth客户端运行在浏览器中。 密码模式(password):将用户名和密码传过去,直接获取access_token。 客户端模式(client credentials):用户向客户端注册,然后客户端以自己的名义向“服务端”获取资源。 授权码模式(aut...
详解OAuth 2.0授权协议(Bearer token
u012324798的博客
04-20 1万+
OAuth 2.0授权协议1 认证(Authentication)2 授权(Authorization)3 OAuth 2.0与认证机制的联系4 详解OAuth 2.0授权协议4.1 授权码流程4.2 如何使用refresh_token换发新的access_token?4.3 access token的具体用法(Bearer token)4.4 客户机应用如何把access token传递给资源服...
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 17万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
Spring Security OAuth2 使用Redis存储token键值详解
OceanSky的专栏
07-27 2万+
1.Spring Security OAuth2存储token值的方式由多种,所有的实现方式都是实现了TokenStore接口 InMemoryTokenStore:token存储在本机的内存之中 JdbcTokenStore:token存储在数据库之中 JwtTokenStore:token不会存储到任何介质中 RedisTokenStore:token存储在Redis数据库之中 2.看下R...
请用android studio的cotlin语言写一个记事本
06-11
好的,以下是一个简单的记事本应用程序的示例,使用 Kotlin 语言编写。 首先,创建一个新的 Android 项目,并在 `build.gradle` 文件中添加以下依赖项: ```groovy dependencies { // Kotlin 标准库 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值