Spring Security Oauth2:RedisTokenStore(二)之JSON序列化

最新推荐文章于 2023-08-05 17:24:30 发布
最新推荐文章于 2023-08-05 17:24:30 发布
阅读量3.4w 收藏 13
点赞数 4
分类专栏: java spring security
本文链接:https://blog.csdn.net/liuyanglglg/article/details/104509195
版权

RedisTokenStore:Json序列化

一. 前言

Spring Security Oauth2 存储Token的方式有多种, 比如JWT、Jdbc(数据库)、Redis等,但是对于一个大型的分布式服务应用,Redis存储方式应该是最佳选择。

二. 问题

我们使用默认的Redis存储方式,序列化到到Redis的数据是采用JDK序列化策略写入到redis的。这样对于程序的功能毫无影响,但是对于开发者却很不直观,出现问题,也不容易排查,我们能不能把它们序列化成JSON格式呢?image.png

默认序列化方式

Spring Security Oauth2 Redis序列化Token相关的数据是采用JdkSerializationStrategy,用这个序列化策略序列化出的结果正如上图所示那样,具体的代码如下:

//org.springframework.security.oauth2.provider.token.store.redis.RedisTokenStore

public class RedisTokenStore implements TokenStore {
   

	private static final String ACCESS = "access:";
	private static final String AUTH_TO_ACCESS = "auth_to_access:";
	private static final String AUTH = "auth:";
	private static final String REFRESH_AUTH = "refresh_auth:";
	private static final String ACCESS_TO_REFRESH = "access_to_refresh:";
	private static final String REFRESH = "refresh:";
	private static final String REFRESH_TO_ACCESS = "refresh_to_access:";
	private static final String CLIENT_ID_TO_ACCESS = "client_id_to_access:";
	private static final String UNAME_TO_ACCESS = "uname_to_access:";

	private static final boolean springDataRedis_2_0 = ClassUtils.isPresent(
			"org.springframework.data.redis.connection.RedisStandaloneConfiguration",
			RedisTokenStore.class.getClassLoader());

	private final RedisConnectionFactory connectionFactory;
	private AuthenticationKeyGenerator authenticationKeyGenerator = new DefaultAuthenticationKeyGenerator();
	//Jdk序列方式
    private RedisTokenStoreSerializationStrategy serializationStrategy = new JdkSerializationStrategy();
    ......省略无关代码

Fastjson序列化策略

笔者首先想到的是自定义一个RedisTokenStoreSerializationStrategy**,**接口的实现改成Object和JSONString之间的序列化、反序列应该就好了,于是笔者使用Fastjson实现了一个序列化策略,并注入到Spring Bean容器中,如下:

public class FastjsonRedisTokenStoreSerializationStrategy implements RedisTokenStoreSerializationStrategy {
   

    private final static ParserConfig defaultRedisConfig = new ParserConfig();

    static {
   
        defaultRedisConfig.setAutoTypeSupport(true);
    }

    static {
   
        //设置Fastjson Json自动转换为Java对象
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
    }

    @Override
    public <T> T deserialize(byte[] bytes, Class<T> clazz) {
   
        Preconditions.checkArgument(clazz != null,
            "clazz can't be null");
        if (bytes == null || bytes.length == 0) {
   
            return null;
        }

        try {
   
            return JSON.parseObject(new String(bytes, IOUtils.UTF8), clazz, defaultRedisConfig);
        } catch (Exception ex) {
   
            throw new SerializationException("Could not serialize: " + ex.getMessage(), ex);
        }
    }

    @Override
    public String deserializeString(byte[] bytes) {
   
        if (bytes == null || bytes.length == 0) {
   
            return null;
        }
        return new String(bytes, IOUtils.UTF8);
    }

    @Override
    public byte[] serialize(Object object) {
   
        if (object == null) {
   
            return new byte[0];
        }

        try {
   
            return JSON.toJSONBytes(object, SerializerFeature.WriteClassName,
                SerializerFeature.DisableCircularReferenceDetect);
        } catch (Exception ex) {
   
            throw new SerializationException("Could not serialize: " + ex.getMessage(), ex);
        }
    }

    @Override
    public byte[] serialize(String data) {
   
        if (data == null || data.length() == 0) {
   
            return new byte[0];
        }

        return data.getBytes(Charset.forName("utf-8"));
    }
}

@Bean
public RedisTokenStore redisTokenStore(){
   
    RedisTokenStore store = new RedisTokenStore(redisConnectionFactory);
    store.setSerializationStrategy(new FastjsonRedisTokenStoreSerializationStrategy());
    return store;
}

笔者刚开始以为这样处理就可以了,OAuth2Authentication 这个类并没有默认构造方法,会导致Fastjson反序列化失败,因此针对Oauth2等无法序列化或者反序列化的类需要特殊化处理。针对DefaultOAuth2RefreshToken、OAuth2Authentication等特殊的类,我们需要定制化序列化以及反序列化策略。下面是笔者项目的配置以及序列化和反序列策略,有些类是满足需求定制的,不在Spring Security包中。提供只是参考思路,不可照抄。配置和自定义策略如下:

public class FastjsonRedisTokenStoreSerializationStrategy implements RedisTokenStoreSerializationStrategy {
   

    private static ParserConfig config = new ParserConfig(<
最低0.47元/天 解锁文章
Young~^_^
关注
  • 4
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
Spring Security Oauth2:RedisTokenStore修改默认序列化方式,由JDK改为JSON
每天叫醒自己的不是闹铃 是娟 是梦 是理想。
05-06 7552
RedisTokenStore:Json序列化一. 前言 Spring Security Oauth2 存储Token的方式有多种, 比如JWT、Jdbc(数据库)、Redis等,但是对于一个大型的分布式服务应用,Redis存储方式应该是最佳选择。 . 问题 我们使用默认的Redis存储方式,序列化到到Redis的数据是采用JDK序列化策略写入到redis的。这样对于程序的功能毫无影响,但是对...
springboot+security+oauth2+redis,使用redis和jackson序列化保存token
qq_33797412的博客
01-22 2297
springboot+security+oauth2+redis,使用redis和jackson序列化保存token
Spring Security + Session Redis——JSON序列化错误[The class xxx and name of xxx is not whitelisted. ]解决方案
无限迭代中......
03-17 3645
前置 Spring Security + Spring Session + Redis——【SecurityContext】和【AuthenticationTokenJSON序列化问题解决方案 问题描述 Caused by: java.lang.IllegalArgumentException: The class with com.hailiu.model.Role and name of com.hailiu.model.Role is not whitelisted. If you bel
SpringSecurity中授权时fastjson序列化问题
qq_63918780的博客
06-23 851
学习Spring Security遇到的鉴权问题
UsernamePasswordAuthenticationToken
weixin_33985507的博客
04-16 2527
UsernamePasswordAuthenticationToken继承AbstractAuthenticationToken实现Authentication所以当在页面中输入用户名和密码之后首先会进入到UsernamePasswordAuthenticationToken验证(Authentication),然后生成的Authentication...
SpringSecurity学习笔记之 入门 十 一(oauth2.0整合 redis保存token
m0_49194578的博客
08-13 1469
之前我们的token都是保存在内存中。这是不合理的。【反正教程是这么写的】,可能是他的token有别于jwt的token吧。因为每次重启服务器就失效了嘛。。那就应该是临时token了。。 这里我们就把他的资源访问token进行缓存redis maven: redis依赖: spring-boot-starter-data-redis 对象池依赖: commons-pool2 原因: 放在内存中token有可能丢失,放关系数据库,效率低,所以采用redis; 配置: 在刚才配置密码模式的地方,进行配置 在授
spring security + oauth2 使用RedisTokenStorejson格式存储
qq_31683775的博客
08-05 1112
然后访问,到json权限信息转成实体类的时候,就有问题了,各种各样oauth2 中的数据实体类,没有构造方法,无法创建对象,先转成map在手动新建对象同样不行,,保存没问题,取出来的时候就有问题了,把这三个文件复制到资源服务器,让资源服务器也用MyRedisTokenStore 的方式读取权限信息.但是需要实例化的对象类路径,这么长一串,没有构造方法,无法新建对象.4.配置使用redis类型的 TokenStore。5.完成认证模块的编写后,测试登录。redis中的配置已经读到了。结束
Spring-Rest:春假之日
03-10
7. **JSON序列化与反序列化**:在REST服务中,JSON是最常用的交换格式。Spring框架支持Jackson库进行JSON的自动转换,使得Java对象和JSON字符串之间能够轻松地互相转换。 8. **安全考虑**:Spring SecuritySpring...
spring-security-learning1.rar
08-11
这样,根据用户的权限,只有被包含在当前视图中的属性才会被序列化JSON响应中。 6. 测试:创建测试用例,模拟不同权限的用户请求,确保响应内容符合预期。 在"spring-security-learning1"这个示例项目中,你可以...
Spring-REST-:Cognizant Stage-3 Spring REST Hands-1
03-22
基本的保护方法包括使用`@Secured`或`@PreAuthorize`注解,以及OAuth2、JWT(JSON Web Tokens)等令牌验证机制。 测试是确保REST服务质量的关键环节。Spring Boot提供了`MockMvc`工具,允许我们在不启动服务器的...
Spring Boot 2企业应用实战_pdf和源码
01-30
- **JSON序列化与反序列化**:使用Jackson库,将对象转换为JSON格式进行网络传输。 4. **数据访问** - **JPA与Hibernate**:集成ORM框架,简化SQL操作,支持关系数据库管理。 - **Repository接口**:通过定义...
Spring-Restful:Spring Restful教程
05-25
五、JSON序列化与反序列化 在处理RESTful API时,通常会涉及JSON数据交换。Spring Boot默认集成了Jackson库,用于自动处理JSON序列化和反序列化。我们可以通过注解如@JsonInclude、@JsonProperty等来自定义JSON...
【MS】spring security oauth2之RedisTokenStore添加限流参数保存
唐伯虎点纹香的博客
08-01 3245
spring security oauth2之RedisTokenStore添加限流参数保存 前言 在之前写的《网关 springcloud-gateway 基于Token限流》中,从网关中获取请求的token ,根据tokenredis 中获取限流参数,那么这个参数是在哪里保存的呢? 没错,在用户认证的时候,就把限流参数和token一起保存到redis了 直接上代码 1、创建CustomRe...
Spring security oauth2 以redis作为tokenstore及jackson序列化失败
KARL的移动码堡
09-10 3641
Spring security oauth2 tokenstore序列化失败前言一、TokenStore、步骤1.配置和代码1.1环境1.2配置文件1.2.1 授权服务器配置文件1.2.2 资源服务器配置文件1.3 java代码1.3.1 授权服务器代码1.3.2 资源服务器代码2 测试总结 前言 项目当中需要用到鉴权的场景很多,一般会使用shiro或者spring security作为一个权限验证的框架,两个框架的优缺点这里就不比较了,都是看个人习惯。自己从搭建项目时就比较倾向于选择spring全家桶
五分钟带你玩转oauth2(十五)重写源码,自定义RedisTokenStore进行token单点登录的续期
小鲍侃java
02-03 2949
当涉及到token时面临了一个问题,就是token续期,在单点登录的环境中,登录用户因为可能访问第三方系统产生多个token,楼主的解决方式是判断同一个ip下,同一个用户,相同类型浏览器的token同时续 1.复制spring security提供的RedisTokenStore 2.修改readAuthentication方法,在验证token时会调用这个方法。 public class CustomRedisTokenStore implements TokenStore { @A.
Spring Security Oauth2】构建授权服务器(四):token存放到Redis
apple_csdn的博客
03-10 1369
一、环境准备 1、回顾 【Spring Security Oauth2】构建授权服务器(一):内存模式 2、准备Redis 3、application.yml配置 spring: redis: host: 127.0.0.1 port: 6379 password: root database: 13 token存放到Redis步骤 1、Pom引入依赖 <!--springboot中的redis依赖--> <dependency
8.Spring Security Oauth2 -- redis 和 JWT存储token
折剑听雨落
06-04 4651
1.令牌的存储方式 令牌有多种存储方式,每种方式都是实现了 TokenStore 接口 存储在本机内存: InMemoryTokenStore 存储在数据库: JdbcTokenStore JWT: JwtTokenStoreJson Web Token 不会存储在任何介质中,不过我还是不推荐这种做法啊,并发 2w 以后会有问题 存储在 RedisRedisTokenStore 2.使用 Redis 存储令牌 2.1 pom添加依赖 ...
SpringSecurity OAuth2 资源服Token序列化解析失败
程序员劝退师的博客
10-09 2123
前言 这是我在整合整个系统的时候发现的,一不注意就出了个BUG,说真的SpringSecurity OAuth2细节BUG还真多,这是我第三次整合了!问题就是我在做全局解析Token方案的时候另辟蹊径的做了另一个方案,SpringSecurity OAuth2 关于 UserAuthenticationConverter就是这个玩意,然后当我和之前的的全局解析方案做对比的时候SpringSecurityOAuth2获取JWT中的数据看到这篇文章中有提到一句 我就测试了一下,因为我觉得这个地方都是解析请求头
Spring Security Oauth2:RedisTokenStore(一)之Token内容揭秘
热门推荐
既无风雨也无晴
04-10 4万+
Spring Security Oauth2 之RedisTokenStore Spring Security Oauth2 存储Token的方式有多种
spring-security-oauth2文档
最新发布
03-26
如果你已经将Spring Security OAuth2添加到类路径中,那么Spring Security OAuth2 Boot可以帮助你自动化授权服务器的设置。然而,在选择使用它之前,强烈建议查阅Spring Security的特性和矩阵,确保新版本提供的第一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值