记录Spring Security OAuth2.0认证授权7:前后端代码分离

最新推荐文章于 2024-08-14 22:45:00 发布
最新推荐文章于 2024-08-14 22:45:00 发布
阅读量1.2k 收藏 2
点赞数 1
文章标签: macos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54983229/article/details/113401789
版权
本文主要介绍了在Spring Security OAuth2.0认证授权中遇到的jwt令牌过期校验和refresh-token更新令牌缺少用户信息的问题。通过在网关处增加过期时间校验以及调整JwtAccessTokenConverter的配置,解决了jwt令牌永不过期和refresh-token更新时用户信息丢失的难题。此外,还介绍了如何新建business-server模块实现前后端分离,以及登录、刷新token的前端实现。最后提供了测试步骤和源代码地址。
摘要由CSDN通过智能技术生成

一、jwt令牌在网关处的过期时间校验
二、refresh-token接口缺少用户信息
三、新建business-server模块作为web容器
四、前后端分离
1、关闭认证服务表单登录
2、前后端代码
五、测试
六、源代码地址
历史文章

Spring Security OAuth2.0认证授权一:框架搭建和认证测试
Spring Security OAuth2.0认证授权二:搭建资源服务
Spring Security OAuth2.0认证授权三:使用JWT令牌
Spring Security OAuth2.0认证授权四:分布式系统认证授权
Spring Security OAuth2.0认证授权五:用户信息扩展到jwt

本篇文章将会解决上一篇文章《Spring Security OAuth2.0认证授权五:用户信息扩展到jwt 》中遗留的问题,并在原有的项目中新增模块business-server用来充当前端页面的web容器并转发登录请求和更换token的请求等,以模拟前后端分离下的登录以及更换token操作。

一、jwt令牌在网关处的过期时间校验
上一篇文章中讲了在网关处解析token并转发到目标服务的操作,因为使用了jwt令牌的原因,所以省了一步到认证服务器认证的操作,只要验签成功,就认为令牌有效。这实际上留下了一个bug:服务端无法主动取消jwt令牌,所以这个令牌只要客户端保存下来,如果不调用认证服务器的令牌验证接口,这个jwt令牌将永远有效。因此需要在网关处加上对过期时间的校验。

在TokenFilter中添加以下代码逻辑

//取出exp字段,判断token是否已经过期
try {
Map<String, Object> map = objectMapper.readValue(payLoad, new TypeReference<Map<String, Object>>() {
});
long expiration = ((Integer) map.get(“exp”)) * 1000L;
if (expiration < new Date().getTime()) {
return unAuthorized(exchange, “未认证的请求:token存在,但是已经失效”,WrapperResult.TOKEN_EXPIRE);
}
} catch (IOException e) {
log.error("", e);
return unAuthorized(exchange, “未认证的请求:错误的token”,null);
}
二、refresh-token接口缺少用户信息
refresh-token在access_token过期,但是refresh-token未过期的时候使用,目的是使用refresh_token更新已经过期的access_token,这样理论上来说,客户端只要能在refresh_token过期之前进行任意操作,就可以避免重新登录了。

上一篇文章中将用户信息放到了jwt token中并返回给客户端,但是如果使用refresh_token更新token,后端会报错,前端取到的token中则缺少了用户信息。究其原因,和JwtAccessTokenConverter有关系,关于这个类的实例,当初创建的方法如下

@Bean
public JwtAccessTokenConverter accessTokenConverter(){
JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);//对称秘钥,资源服务器使用该秘钥来验证
return jwtAccessTokenConverter;
}
这里的new操作省了很多默认参数的指定,且先看下为啥会缺少用户信息,扩展用户信息的关键在于方法com.kdyzm.spring.security.auth.center.service.MyUserDetailsServiceImpl#loadUserByUsername,这里扩展了用户信息,使其从单纯的username字符串变成了UserDetailsExpand对象,然后在增强方法com.kdyzm.spring.security.auth.center.enhancer.CustomTokenEnhancer#enhance中将扩展信息取出来放到Token中。

经过debug,发现

2021-01-29_162556.jpg

最终发现是如下代码的问题org.springframework.security.oauth2.provider.token.DefaultUserAuthenticationConverter#extractAuthentication

public Authentication extractAuthentication(Map<String, ?> map) {
if (map.containsKey(USERNAME))

最低0.47元/天 解锁文章
m0_54983229
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Security OAuth2.0认证授权
weixin_50458070的博客
11-27 226
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
SpringBoot+Security+Vue前后端分离开发权限管理系统
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security认证授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
前后端分离架构下的OAuth2.0授权流程
weixin_41866717的博客
10-02 4408
前后端分离架构下spring security oauth2.0
前后端完全分离项目的OAUTH2.0
头发茂密的假程序猿
12-03 7650
OAUTH2.0 业务需求 因业务需求,需要把两个不相干的系统帐号打通,要求A系统的帐号能登录B系统。从网上找的教程都千篇一律,廖雪峰老师的讲的算是比较透彻,不过没有提怎么实现前后端分离的项目。网上的教程都是前后端放一起,后端在oauth流程结束后很容易把token以及获取到的三方帐号给到前端,然后对于完全前后端分离的项目来说,前后端都是独立的服务,存在跨域,前端如果不主动请求后端,那么后端拿到的oauth信息是无法给到前端了。 解决方法 最后通过强大的谷歌找到了方法,参考的OAUTH2.0前后分离,最终用
前后端分离Oauth2.0 - springsecurity + spring-authorization-server —序言
qjyn1314的博客
11-08 3525
前后端分离Oauth2.0实践-序言
前后端分离Oauth2.0 - springsecurity + spring-authorization-server —授权码模式
qjyn1314的博客
11-08 8425
前后端分离Oauth2.0实践-授权码模式
Spring Security OAuth2 实现登录互踢的示例代码
08-19
Spring Security OAuth2 实现登录互踢的示例代码 Spring Security OAuth2 是一个基于 OAuth2 协议的身份验证框架,提供了丰富的身份验证机制和授权机制。本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例...
spring cloud + vue + oAuth2.0全家桶实战,前后端分离模拟商城,完整的购物流程、后端运营平台
05-15
spring cloud + vue + oAuth2.0全家桶实战,前后端分离模拟商城,完整的购物流程、后端运营平台,可以实现快速搭建企业级微服务项目。支持微信登录等三方登录。 功能点: 模拟商城,完整的购物流程、后端运营平台对...
基于Spring Cloud、OAuth2.0开发基于Vue前后分离的开发平台,支持账号、短信、SSO等多种登录
10-23
全网最新的Cloud 权限系统 基于Spring Boot 2.0.4.RELEASE ...基于 Spring Security oAuth 深度定制,支持社交登录等 完整的OAuth 2.0 流程,资源服务器控制权限 去除了部分对于开发不友好的中间件,快速上手
基于spring cloud + vue + oAuth2.0开发的前后端分离的商城系统,完整的购物流程、后端运营平台微服务项目
01-04
spring cloud + vue + oAuth2.0全家桶实战,前后端分离模拟商城,完整的购物流程、后端运营平台,可以实现快速搭建企业级微服务项目。支持微信登录等三方登录。 功能点: 模拟商城,完整的购物流程、后端运营平台...
springCloud-分享版-基于Spring Cloud、OAuth2.0前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动
08-06
基于Spring Cloud、OAuth2.0前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动态路由、灰度发布、 支持常见登录方式, 多系统SSO登录 基于 Spring Cloud Hoxton 、Spring Boot 2.3、 ...
SpringSecurity+Jwt+Aouth2实现前后端分离的登录认证(有源码)
qq_44993268的博客
03-27 3165
基于springSecurity的简易登录系统
前后端分离项目 — 基于SpringSecurity OAuth2.0用户认证
a595077052的专栏
08-10 3494
1、前言 现在的好多项目都是基于APP移动端以及前后端分离的项目,之前基于Session的前后端放到一起的项目已经慢慢失宠并淡出我们视线,尤其是当基于SpringCloud的微服务架构以及Vue、React单页面应用流行起来后,情况更甚。为此基于前后端分离的项目用户认证也受到众人关注的一个焦点,不同以往的基于Session用户认证,基于Token的用户认证是目前主流选择方案(至于什么是Token认证,网上有相关的资料,大家可以看看),而且基于Java的两大认证框架有Apache Shiro和SpringS
千云物流-基于Oauth2,springsecurity单点登录SSO,前后端分离和SPA方式实现方式。
热门推荐
Hello Word
05-30 3万+
基于Oauth2,springsecurity单点登录SSO,前后端分离和SPA方式实现方式。 在接到需求要做SPA方式的单点登录的需求,发现好多的坑,之前我们接触的只是浏览器的单点登录,基于session的或者是基于app的基于token的,app类似SPA方式,但是有个不同点,就是在多个app或者多个SPA下怎么做单点登录。一开始以为很容易。但是在搞一段时间啊后发现自己越走越黑,越走越远,总结...
前后端分离版的oauth2.0第三方登录,做个总结
m0_49194578的博客
01-27 6580
场景搭建过程adv向授权服务器发送申请授权码请求授权和资源授权服务器SecurityConfigAuthorizationServerConfigCustomJwtTokenFilter资源服务器SecurityConfigResourceServerConfig一些当前场景的奇怪自定义配置UserLoadCustomJwtTokenEncoder执行流程获取授权授权码兑换access_token授权码访问资源 场景 1.提供登录服务的平台adv 2.第三方app生成state通过拉起adv传输客户端i.
SpringSecurityOauth2实现前后端分离的token服务,app登录
一点光辉的博客
02-09 6491
图解认证服务器和资源服务器 用户通过认证服务器获取到token之后,在通过token访问服务器的资源(接口) 认证服务器 授权码模式 第一步:在@configuration配置类中 @Configuration //加上这个注解就实现了一个认证服务器 @EnableAuthorizationServer public class AuthorizationServerConfig ...
SpringBootSecurity学习(15)前后端分离版之 OAuth2.0简单示例
Blues的专栏
10-07 2147
OAuth2.0 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。客户端来申请资源,资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。也就是说,OAuth 的核心就是向第三方应用颁发令牌。而且,OAuth 2.0 规定了四种获得令牌的流程。你可以选择最适合自己的那一种,向第三方应用颁发令牌。 具体的OAuth学习建议仔细研读阮一峰的教程, ...
mac电脑安装Zsh并启用
最新发布
程序员成长软技能
08-14 363
mac电脑安装Zsh并启用
springsecurity oauth2.0认证流程
05-12
Spring Security OAuth2.0是基于Spring Security的框架,用于实现OAuth2.0协议。下面是OAuth2.0认证流程: 1. 客户端向认证服务器发送认证请求,其中包括客户端ID和客户端密钥。 2. 认证服务器验证客户端的身份...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值