Spring oauth2.0 刷新token后设置原token5分钟内继续可用

最新推荐文章于 2024-10-05 16:03:40 发布
最新推荐文章于 2024-10-05 16:03:40 发布
阅读量3.9k 收藏 6
点赞数 2
分类专栏: Oauth2.0 文章标签: oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q412086027/article/details/106473386
版权
在OAuth2.0中,默认刷新token会导致原token立即失效。为实现刷新token后原token在5分钟内仍可用,需要自定义tokenStore并重写`removeAccessTokenUsingRefreshToken`方法,避免立即删除旧token。这样配置后,原token将在5分钟后过期。
摘要由CSDN通过智能技术生成

默认情况下刷新token后原token会立马不可用。但是在某些情况下我们需要刷新token后原token在一定时间内继续可用(例如微信的刷新token)。

通过查看DefaultTokenServices中的刷新token方法refreshAccessToken可以看到生成新的token后会调用removeAccessTokenUsingRefreshToken方法,此方法默认会删除存储的相关token信息

private void removeAccessTokenUsingRefreshToken(String refreshToken) {
		byte[] key = serializeKey(REFRESH_TO_ACCESS + refreshToken);
		List<Object> results = null;
		RedisConnection conn = getConnection();
		try {
			conn.openPipeline();
			conn.get(key);
			conn.del(key);
			results = conn.closePipeline();
		} finally {
			conn.close();
		}
		if (results == null) {
			return;
		}
		byte[] bytes = (byte[]) results.get(0);
		String accessToken = deserializeString(bytes);
		if (accessToken != null) {
			removeAccessToken(accessToken);
		}
	}

所以就需要重写该方法设置不立即删除

 

首先需要自定义tokenStore

public class OAuth2Au
最低0.47元/天 解锁文章
ethan_z
关注
专栏目录
Oauth2 互斥令牌 用户再次登陆后生成新accessToken 旧的作废
xuexishaguo的博客
01-01 2030
package com.tuu.config; import com.fasterxml.jackson.databind.ObjectMapper; import lombok.extern.slf4j.Slf4j; import org.apache.commons.collections.MapUtils; import org.apache.commons.lang3.StringUti...
Spring Security OAuth2.0 自定义token生成方式
weixin_34242658的博客
12-20 3962
2019独角兽企业重金招聘Python工程师标准>>> ...
OAuth2.0刷新Token,正在操作时,Token不过期
般若
06-17 5916
文件名称 版本号 作者 qq 版本 OAuth2.0刷新Token v1.0.0 学生宫布 8416837 SpringBoot 2.2.6SpringCloud Hoxton.SR4 文章目录需求假设你已经搭建好OAuth2.0服务器解决办法1)定时器2)请求拦截式,每次请求权限接口都判断是否可以刷新Token了 需求 保证页面不会在正在操作中却弹出Token过期,这样体验不好。除非好久(设定的阈值)没有操作页面了,显示已过期才合理。 假设你已经搭建好OAuth2.0服务器 登录...
OAuth 2.0】使用与更新
最新发布
小秀的博客
10-05 659
OAuth 2.0 授权流程中,是客户端访问资源服务器的凭证。访问令牌(Access Token)通常具有有效期,过期后无法继续使用,因此 OAuth 2.0 引入了的机制,用于在访问令牌过期时,客户端可以请求新的访问令牌,而无需用户再次授权。这不仅增强了安全性,也提升了用户体验。
spring security oauth2 自动刷新续签token (refresh token)
热门推荐
m0_37834471的博客
10-20 6万+
1.引言 前提:了解spring security oauth2的大致流程(对过滤器的内容有一定的了解) 主要思路: 首先用过期token访问受拦截资源 认证失败返回401的时候调用异常处理器 通过异常处理器结合refresh_token进行token刷新 刷新成功则通过请求转发(request.getRequestDispatcher)的方式再次访问受拦截资源 2.源码分析核心过滤器...
已经过期的 Token 为什么还可以用来刷新 Token
hsany330的专栏
04-22 353
API 的教程中有提到https://learnku.com/courses/laravel-advanc... 因为有两个时间,如果超过了可刷新时间,也就是用户很久没有使用,就应该让用户重新登录啊
OAuth2.0 token的自动续期问题
xiao_ying_bo_ke的博客
05-27 1986
OAuth2.0token自动续期源码分析及实现
SpringOauth2.0源码分析之Token持久化(五)
有信仰的蜗牛
10-29 2737
1.概述 前面几个章节所述内容如下: SpringOauth2.0源码分析之认证流程分析(一) SpringOauth2.0源码分析之ProviderManager(二) SpringOauth2.0源码分析之客户端认证(三) SpringOauth2.0源码分析之获取access_token(四) 本章节主要叙说Token的存储情况。默认的情况下,SpringOauth2.0 提供4种方式存...
spring security oauth2.0 (讲义+代码)
03-10
Spring Security OAuth2.0 是一个强大的安全框架,用于构建安全的Web应用和API。OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。本讲义结合代码将深入探讨如何...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作理,Spring ...
看完这篇文章,你如果还不知道怎么设置Oauth2令牌过期时间算我输
恒宇少年De成长之路
12-12 4179
OAuth2所生成的AccessToken以及RefreshToken都存在过期时间,当在有效期内才可以拿来作为会话身份发起请求,否者认证中心会直接拦截无效请求提示已过期,那么我们怎么修改这个过期时间来满足我们的业务场景呢? 目前一线大厂所使用的的AccessToken的有效期一般都是7200秒,也就是2小时,而且有获取的次数限制,所以发起请求的一方必须通过一定的形式保存到本地,以方便下一次发起请...
Oauth2.0实现token刷新功能
康小虎的博客
07-13 1万+
1、Oauth2.0简介 Oauth2.0是一个授权协议,提供了一种解决用户资源共享问题的思路,它不是一种实现。对于java来说,我们可以利用Spring Security OAuth2来实现。 Oauth2.0实现的最基本的思路: 上图的名词解释: 几种授权模式: 授权码模式基本思路: 微服务架构下的时序图: 2、刷新token (1)基本思路 首先我们要明白,在授权码模式下,在网关请求获取access token的时候,接口会返回一个access token和一个refresh token,我
Oauth2.0实现token刷新功能(二)
康小虎的博客
04-22 4513
文章目录前言直接上代码总结 前言 之前写过一篇“Oauth2.0实现token刷新功能”,发现大家阅读的还是特别多,那个是基于Spring Cloud实现的刷新功能,现在将它改为基于普通过滤器实现token刷新。 直接上代码 基本思路还是跟之前一样,过滤器拦截请求验证tokentoken过期后请求单点登录服务器换取新的access_token和refresh_token,将两个token放到过滤器返回体的头部。从而不影响本次请求,同时还能在本次请求的过程中做到无痕刷新token。 @Override
OAuth2.0用refresh_token更新access_token令牌
张俊杰 的博客
02-07 6783
概述 使用oauth2时,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。只需修改认证服务器的配置,添加refresh_token的授权模式即可。 修改授权服务器配置,增加refresh_token配置 ​ @Autowired private UserService userService; @Override public void configure(AuthorizationServerEndpointsConfigurer endpoint
避坑指南(一):Spring Security Oauth2中refresh_token刷新access_token异常
银河架构师的博客
12-30 1万+
问题 Spring Security Oauth2中,当access_token即将过期时,需要调用/oauth/token,使用refresh_token刷新access_token,此时会存在一个坑: 即如果使用Spring Security框架默认生成的AuthenticationManager时,接口调用异常。 具体报错信息为如下: No AuthenticationProvid...
每次请求刷新token的时间
悢七的CSDN博客
06-28 2674
项目为springboot+vue前后端分离式 操作者在header携带token对后台进行请求,token有效期为30分钟。现需要实现:30分钟操作者每次操作都将重新计时。 完全使用localStorage解决该问题。 在前端请求拦截器(request)配置 // request拦截器 service.interceptors.request.use(config => { if(localStorage.getItem('token')!==null) { //刷新t
Redis pipeline
02-26 889
Redis pipeline
清空缓存和token
zh_chong的博客
03-03 2504
@Inner @DeleteMapping("/{token}") @Override public R<Boolean> removeTokenById(@PathVariable("token") String token, @RequestHeader(SecurityConstants.FROM) String from) { OAuth2AccessToken accessToken = tokenStore.readAccessToke...
springboot整合springsecurity+oauth2.0实现token认证
07-08
好的,你想了解如何在Spring Boot中整合Spring Security和OAuth 2.0来实现token认证。下面是一个基本的步骤: 1. 添加依赖:在你的`pom.xml`文件中添加Spring Security和OAuth 2.0的依赖。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> ``` 2. 配置Spring Security:创建一个继承自`WebSecurityConfigurerAdapter`的配置类,并覆盖`configure`方法,配置Spring Security。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/oauth2/**", "/login/**", "/logout/**") .permitAll() .anyRequest() .authenticated() .and() .oauth2Login() .loginPage("/login") .and() .logout() .logoutUrl("/logout") .logoutSuccessUrl("/") .deleteCookies("JSESSIONID"); } } ``` 这个配置类指定了哪些URL需要进行认证,`antMatchers`方法指定了不需要认证的URL。 3. 配置OAuth 2.0客户端:创建一个继承自`WebSecurityConfigurerAdapter`的配置类,并使用`@EnableOAuth2Client`注解开启OAuth 2.0客户端。 ```java @Configuration @EnableOAuth2Client public class OAuth2ClientConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // 配置HTTP Security } @Bean public OAuth2AuthorizedClientService authorizedClientService( OAuth2ClientRegistrationRepository clientRegistrationRepository) { return new InMemoryOAuth2AuthorizedClientService(clientRegistrationRepository); } } ``` 这个配置类可以用来配置OAuth 2.0的客户端,你可以在`configure`方法中添加一些额外的配置。 4. 配置OAuth 2.0客户端注册:在`application.properties`文件中配置OAuth 2.0的客户端注册信息。 ```properties spring.security.oauth2.client.registration.my-client-id.client-id=your-client-id spring.security.oauth2.client.registration.my-client-id.client-secret=your-client-secret spring.security.oauth2.client.registration.my-client-id.scope=your-scopes spring.security.oauth2.client.registration.my-client-id.authorization-grant-type=authorization_code spring.security.oauth2.client.registration.my-client-id.redirect-uri=your-redirect-uri ``` 这个配置文件中的`my-client-id`是你自己指定的客户端ID,你需要将其替换为你自己的信息。 这些步骤是实现Spring Boot中整合Spring Security和OAuth 2.0实现token认证的基本步骤。你可以根据自己的需求进行进一步的配置和扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值