springboot1.5.21的bug导致高并发场景下一个用户token解析成另一个用户

最新推荐文章于 2023-04-09 13:54:32 发布
置顶 最新推荐文章于 2023-04-09 13:54:32 发布
阅读量1.8k 收藏 1
点赞数 3
分类专栏: java J2EE spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jshayzf/article/details/97890272
版权

SpringBoot bug在org.springframework.boot.autoconfigure.security.oauth2.resource.UserInfoTokenServices.java Line:144

private Map<String, Object> getMap(String path, String accessToken) {
   if (this.logger.isDebugEnabled()) {
      this.logger.debug("Getting user info from: " + path);
   }
   try {
      OAuth2RestOperations restTemplate = this.restTemplate;
      if (restTemplate == null) {
         BaseOAuth2ProtectedResourceDetails resource = new BaseOAuth2ProtectedResourceDetails();
         resource.setClientId(this.clientId);
         restTemplate = new OAuth2RestTemplate(resource);
      }
      OAuth2AccessToken existingToken = restTemplate.getOAuth2ClientContext()
            .getAccessToken();
      if (existingToken == null || !accessToken.equals(existingToken.getValue())) {
         DefaultOAuth2AccessToken token = new

最低0.47元/天 解锁文章
njyzf
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
解决Spring Security Oauth资源服务器并发情况下获取用户信息错乱问题
qq_38226693的博客
07-31 1898
解决Spring Security Oauth资源服务器并发情况下获取用户信息错乱问题问题描述项目工程源码分析解决方案1,修改源码2,添加新的子类实现,并作为新bean注入总结 问题描述 当用户A与用户B分别持有一个合法的令牌token 访问同一个资源服务器时,会间接性的出现,用户A拿着A的合法token 却获取到了用户B的用户信息,B用户相反而之。 项目工程 代码使用了redis 作为token 存储,资源服务器通过配置 security: oauth2: resource: us
python token 访问控制_用户登录使用jwt实现token认证,用户模块分离为一个系统。假如有三个子业务系统,分别登录了,怎么控制每个子系统的注销?...
weixin_39587010的博客
11-29 176
1)思考一下,为什么用 jwt 实现 token,而不是其他的 token 类型?使用 jwt 做为 token,那么在验证 token 的过程中,不需要和用户模块交互,降低了用户模块的访问压力。但是 jwt 的缺点也很明显,无法revoke token,所以一般会将 token 超时的时间设置的比较短。2)是否需要 revoke token?如果需要通过 revoke token 的方式来注销用...
【圈友app】解析token的两种方法:工具类/拦截器—人脸识别设置头像、完善用户信息
四季轮换叶,一路招摇胜
04-09 1796
【圈友app】解析token的两种方法:工具类/拦截器—人脸识别设置头像、完善用户信息
记录因为token导致的问题,排查代码报错思路
前端如逆水行舟...
08-28 695
必须刷新才能得到数据?本地存储和vuex的使用出现问题,有意思的是token是空的,那获取用户信息请求失败了也是理所应当的了,那token呢?发现token在本地是有的。。。
高并发系统设计 -- 登录系统设计
qq_61039408的博客
01-11 1169
在我们的前后端分离的分布式架构中,有很多代理层(例如SpringCloud GateWay),我们如果用sessionId来验证的话,那么我们前端发过来请求之后,代理要拿到sessionId,拿到sessionId之后要把它传给我真正的服务,而sessionId在传递的过程中会耗费大量的资源。并且如果我们真正的服务是集群部署的话,那么还要实现sessionId的共享,把sessionId拷贝多份。
利用Kotlin开发你的第一个Android应用
08-29
本文将指导你如何利用Kotlin来开发你的第一个Android应用,包括安装Kotlin插件、配置环境以及创建并运行你的第一个Kotlin Activity。 **一、安装Kotlin插件** 在Android Studio中安装Kotlin插件有两种方式: 1. *...
鲶鱼HTML编辑器HandyEditor v1.5.21
10-01
HandyEditor是由Catfish(鲶鱼) CMS出品的所见即所得富文本web编辑器。 HandyEditor编辑器十分轻量,并且使用便利,可定制,多语言支持,注重用户体验。 HandyEditor编辑器的特点: 轻量 HandyEd
XCrysDen 1.5.21
08-15
一个Data Visualization 3D软件,免费。用于查看Vasp,Quantum espresso, PWscf, 等量子化学软件的计算结果,包括电子密度,分子结构,Wigner Sietz原包信息
pandasai-1.5.21.tar.gz
最新发布
03-09
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、...
PyPI 官网下载 | instagram-scraper-1.5.21.tar.gz
01-12
1. **源代码**:Instagram Scraper的Python源代码,通常在`instagram-scraper`目录下,分为多个.py文件,这些文件实现了数据抓取、解析和存储等功能。 2. **README文件**:提供关于如何安装、使用和配置Instagram ...
spring security oauth2 资源服务/客户端无法正确获取权限
路过君的博客
08-05 8292
异常现象 当资源服务使用token-info-uri校验token时无法获取全部的授权权限,只能获取其中一个权限,使用user-info-uri则可以获取全部的授权权限 spring security 版本2.3.8 资源服务配置 security: oauth2: client: client-id: client1 client-secret: client1pwd access-token-uri: 'http://localhost:11000/oau
Spring Cloud踩得坑之org.springframework.web.client.HttpClientErrorException: 404 null异常处理
答案的博客
03-14 4430
除去你写的请求服务端名称有问题外! 还有一个坑就是你的服务端配置了context-path 或者server- path 去掉即可解决 如果非得配置, 参考https://blog.csdn.net/hubo_88/article/details/80684339或者https://blog.csdn.net/zhuchuangang/article/details/...
spring cloud gateway整合OAuth2实现自定义鉴权
E的博客
08-26 6013
1、OAuth2里面有很多个TokenStore的实现,例如RedisTokenStore,JdbcTokenStore等等,本文以RedisTokenStore实现。 2、自定义CustomAuthorizationManager类实现ReactiveAuthorizationManager接口,重写check()方法 3、关键代码如下 @Component @Slf4j public class CustomAuthorizationManager implements ReactiveAuth
基于Springboot框架的并发实现
yang770840976的博客
06-15 4720
前言:导师的一个小项目,需求是给两个高请求的接口做一下并发,博主半路出家,十分费劲的搞出了这个并发,但是后来有学弟突然发现了springboot里面内置了tomcat,本身就可以实现并发了,具体的原理和性能我还在看,但是感觉光从实现路径上来说比我这个要方便好多。 整体框架: 在原生springboot框架(controller层、entity层、mapper层、service层)的同级目录下(同不同级无所谓只要能访问到就行)加上bean文件夹和utils文件夹,用来放一些项目需要的工具类、其他类,这里我们主
oauth2使用授权码模式(authorization code)获取access_token
吴国凯的博客
05-05 3万+
oauth2获取access_token的几种方式: 简化模式(implicit):在redirect_url中传递access_token,oauth客户端运行在浏览器中。 密码模式(password):将用户名和密码传过去,直接获取access_token。 客户端模式(client credentials):用户向客户端注册,然后客户端以自己的名义向“服务端”获取资源。 授权码模式(aut...
详解OAuth 2.0授权协议(Bearer token
u012324798的博客
04-20 1万+
OAuth 2.0授权协议1 认证(Authentication)2 授权(Authorization)3 OAuth 2.0与认证机制的联系4 详解OAuth 2.0授权协议4.1 授权码流程4.2 如何使用refresh_token换发新的access_token?4.3 access token的具体用法(Bearer token)4.4 客户机应用如何把access token传递给资源服...
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 17万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
Spring Security OAuth2 使用Redis存储token键值详解
OceanSky的专栏
07-27 2万+
1.Spring Security OAuth2存储token值的方式由多种,所有的实现方式都是实现了TokenStore接口 InMemoryTokenStore:token存储在本机的内存之中 JdbcTokenStore:token存储在数据库之中 JwtTokenStore:token不会存储到任何介质中 RedisTokenStore:token存储在Redis数据库之中 2.看下R...
spring Security oAuth2例子分析
xiejx618的专栏
01-23 2万+
参考: 1.https://tools.ietf.org/html/rfc6749 2.http://projects.spring.io/spring-security-oauth/docs/oauth2.html基于spring-security-oauth2,从https://github.com/spring-projects/spring-security
请用android studio的cotlin语言写一个记事本
06-11
好的,以下是一个简单的记事本应用程序的示例,使用 Kotlin 语言编写。 首先,创建一个新的 Android 项目,并在 `build.gradle` 文件中添加以下依赖项: ```groovy dependencies { // Kotlin 标准库 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值