4.Spring Security oAuth2-令牌的访问与刷新

最新推荐文章于 2023-05-14 10:33:04 发布
最新推荐文章于 2023-05-14 10:33:04 发布
阅读量686 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pyycsd/article/details/104049012
版权

令牌的访问与刷新

Access Token

Access Token 是客户端访问资源服务器的令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是 临时 的。这是因为,Access Token 在使用的过程中 可能会泄漏。给 Access Token 限定一个 较短的有效期 可以降低因 Access Token 泄漏带来的风险。

然而引入了有效期之后,客户端使用起来就不那么方便了。每当 Access Token 过期,客户端就必须重新向用户索要授权。这样用户可能每个几天,甚至每天都需要进行授权操作。这是一件非常影响用户体验的事情。希望有一种方法,可以避免这种情况。

于是 OAuth2.0 引入了 Refresh Token 机制。

Refresh Token

Refresh Token 的作用是用来刷新 Access Token。认证服务器提供一个刷新接口,例如:

http://www.pyy.com/refresh?refresh_token=&client_id=

传入 refresh_tokenclient_id,认证服务器验证通之后,返回一个新的 Access Token。为了安全, OAuth2.0 引入了两个措施:

  • OAuth2.0 要求,Refresh Token 一定要保持在客户端的服务器上,而绝不能放在狭义的客户端(如App 、PC端软件)上。调用 refresh 接口的时候,一定是从服务器到服务器的访问。
  • OAuth2.0 引入了 client_secret 机制。即每一个 client_id 都对应一个 cleint_secret。这个 client_secret 会在客户端申请 client_id 时,随着 client_id 一起分配给客户端。客户端必须把这个client_secret 妥善保管在服务器上,绝不能泄漏。刷新 Access Token 时,需要验证这个 client_secret合法性。

实际上的刷新接口类似于:

http://www.pyy.com/refresh?refresh_token=&client_id=&client_secret=

以上就是 Refresh Token 机制。Refresh Token 的有效期非常长,会在用户授权时,随 Access Token 一起重定向到回调 URL,传递给客户端。

Lambda程序员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-boot-security-oauth2-example:使用Spring Security OAuth2保护REST API
05-24
Spring Boot Security OAuth示例 使用Spring Security OAuth2保护REST API 要运行此仓库,请遵循以下命令: 将此命令粘贴到您的终端 mvn clean spring-boot:run 启动POSTMAN生成令牌令牌访问 使用令牌访问资源
Spring-Boot-Security-OAuth2--Authorization-Access-Token:Spring Boot Security OAuth2-授权访问令牌
05-17
Spring Boot安全性OAuth2-授权访问令牌 Spring Boot Security OAuth2-授权访问令牌 请参阅在此我们将获得授权代码,然后与资源所有者交换此代码,我们将获得访问代码,并且该代码可用于身份验证(但它可以用于身份验证)授权)。 这与在我们获得社交登录提示的网站上登录相同。
访问令牌(AccessToken)与刷新令牌(RefreshToken)
昨夜丶雨疏风骤的博客
05-15 9778
源码点我 闲着无聊的我又来了,今天介绍一下访问令牌(AccessToken)与刷新令牌(RefreshToken)。 最近公司来了几个Java,然后空气顿时充满了学术的氛围,每天都弥漫着垃圾回收,内存分配,堆栈等等各种技术问题的讨论,竖起了我的小耳朵,我偶然间听到了这个Token过期的问题,今天来说一说。 众所周知,JWT是我们常用的Token类型之一,但是JWT是无状态的,所有的信息,包括超时时间都会编码在JWT中。如果Token设置的超时时间过长会显得有些不安全,如果设置的过短则必须频繁的登录。 在Id
OAuth2】Spring Security OAuth2 授权失败(401) 问题整理
hkk666123的博客
05-06 8064
文章目录一、免登录接口校验token问题二、Token失效返回的是状态401的错误 Spring Cloud架构中采用Spring Security OAuth2作为权限控制,关于OAuth2详细介绍可以参考阮一峰的网络日志理解OAuth 2.0 项目中采用OAuth2四种模式中的两种,Password模式和Client模式, Password模式用于控制用户的登录,Client模式用于控制后端服务相互调用。 权限架构调整后在近期发现一些问题,由于网上资料不多,只能单步调试方式看源码 (其实带着问题看源码是
分布式环境中spring cloud oauth2授权服务异常处理
路过君的博客
05-18 1117
环境 springboot 2.3.7 spring cloud 2.2.6 spring security 2.3.8 分布式部署多个spring security oauth2授权服务器实例,使用redis session同步会话 问题 客户端通过认证码模式获取令牌时会出现异常报错 分析 spring security oauth2 授权服务器默认使用InMemoryAuthorizationCodeServices 管理授权码,导致分布部署的多个授权服务没有同步授权码,负载均衡将获取令牌的请求发送到非
Spring Security Oauth2学习 (六)
给自己一个smile
03-29 758
目录 一、 Oauth2 简介 二、认证流程步骤说明 三、角色 四、常用术语 五、授权模式 1. 授权码模式(Authorization Code) 2. 简化授权模式(Implicit) 3. 密码模式(Resource Owner PasswordCredentials) Spring Security 学习专栏 1. Spring Security 入门学习(一) 2. Spring Security 自定义认证管理器和讲解 (二) 3. Spring Security...
OAuth2.0用refresh_token更新access_token令牌
张俊杰 的博客
02-07 6085
概述 使用oauth2时,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。只需修改认证服务器的配置,添加refresh_token的授权模式即可。 修改授权服务器配置,增加refresh_token配置 ​ @Autowired private UserService userService; @Override public void configure(AuthorizationServerEndpointsConfigurer endpoint
SpringSecurity-Oauth2 之JWT令牌详解
qq_42861526的博客
08-06 3425
这两个时机的执行都是依靠JwtAccessTokenConverter来完成的注意:上面说的只是组件,JWT暴露给SpringSecurity的服务是tokenService,SpringSecurity也是通过tokenService来完成token的生成、解析以及存储的 (二) 组件之间的依赖关系 JWT暴露给tokenService使用的类是tokenStore,而tokenStore又依赖于accessTokenConvert和authenticationConvert完成token的生成和解析
Spring Security oAuth2 令牌访问刷新
qq_44758028的博客
07-19 5111
Spring Security oAuth2 令牌访问刷新 Access Token Access Token 是客户端访问资源服务器的令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是 临时 的,有一定有效期。这是因为,Access Token 在使用的过程中 可能会泄露。给 Access Token 限定一个 较短的有效期 可以降低因 Access Token 泄露而带来的风险。...
OAuth2(三)自定义刷新令牌逻辑 refresh_token
weixin_54889617的博客
12-10 3993
OAuth2自定义刷新refresh_token
springboot-oauth2-ldap-example:Belajar Spring Security OAuth2 + JWT + LDAP
04-29
LDAP的安全性Oauth2请求令牌curl -X POST \ ' ...
spring-boot-2-oauth2-resource-jwt:Spring Boot 2 OAuth2 JWT资源服务器实现,在令牌和自定义主体中具有自定义详细信息
05-19
Spring Boot 2 OAuth2 JWT资源服务器链接到项目
spring-oauth2-example:一个使用原始令牌调用另一个服务的基本 Spring-security-oauth2 示例
07-11
spring-oauth2-example 一个使用原始令牌调用另一个服务的基本 Spring-security-oauth2 示例
令牌机制(chatgpt)
pscool的博客
05-14 2082
当新的访问令牌可用时,它会解析所有等待的Promise,并使用新的访问令牌重新发送原始请求。双令牌机制的优点是,即使访问令牌被盗,攻击者也只能在短时间内使用,因为访问令牌很快就会过期。此外,即使刷新令牌也被盗,服务器也可以在用户下次使用刷新令牌时,发现有两个不同的客户端试图使用同一个刷新令牌,从而废除该刷新令牌。服务器会验证刷新令牌,如果验证成功,服务器会生成新的访问令牌刷新令牌,并将它们返回给客户端。那访问令牌过期时,发送的那个请求,已经失败了,再拿刷新令牌获取新的访问令牌,怎样做到用户无感。
SpringCloud OAuth2资源服务器解决Full authentication,自定义返回异常信息,以及资源服务器忽略验证url,实现自定义登录获取认证服务器的token
zzzgd_666的博客
07-13 6944
SpringCloud OAuth2资源服务器解决Full authentication,自定义返回异常信息,以及资源服务器忽略验证url,实现自定义登录获取认证服务器的tokenFull authentication 问题自定义登录ControllerwebSecurity配置类:资源忽略验证url自定义返回异常信息实现AuthenticationEntryPoint实现AccessDeniedHandler继承ResourceServerConfigurerAdapter Full authentica
10-SpringSecurityOauth2研究-校验令牌&刷新令牌
minihuabei的博客
08-06 981
3.5校验令牌 Spring Security Oauth2提供校验令牌的端点,如下: Get: http://localhost:40400/auth/oauth/check_token?token= 参数: token:令牌 使用postman测试如下: exp:过期时间,long类型,距离1970年的秒数(new Date().getTime()可得到当前时间距离1970年的毫秒数)。 user_name: 用户名 client_id:客户端Id,在oauth_client_details中配置
spring security oauth2 自定义实现令牌存储
mark's technic world
01-25 2万+
我一开始用oauth2 for spring security的JdbcTokenStore存储令牌,它用jdbcTemplate操作数据库,代码显示操作成功,但是数据库里就是没有存储的令牌,调试搞了一天,就是找不到原因,无奈,只好自己用mybatis实现了一个tokenStore。 数据库表结构: drop table if exists oauth_client_details; drop
spring security oauth2 自动刷新续签token (refresh token)
热门推荐
m0_37834471的博客
10-20 6万+
1.引言 前提:了解spring security oauth2的大致流程(对过滤器的内容有一定的了解) 主要思路: 首先用过期token访问受拦截资源 认证失败返回401的时候调用异常处理器 通过异常处理器结合refresh_token进行token的刷新 刷新成功则通过请求转发(request.getRequestDispatcher)的方式再次访问受拦截资源 2.源码分析核心过滤器...
华为OD机试D卷 - 用连续自然数之和来表达整数 - 免费看解析和代码.html
最新发布
05-10
私信博主免费获取真题解析以及代码
spring-security-oauth2-2.2.3.release.jar
11-04
此外,spring-security-oauth2-2.2.3.release.jar支持使用不同的存储机制来存储和管理OAuth 2.0令牌,例如内存存储、数据库存储和Redis存储。开发人员可以根据自己的需求选择并配置合适的存储机制。 总的来说,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值