Spring Security OAuth2 实现登录互踢

最新推荐文章于 2024-03-29 12:11:02 发布
最新推荐文章于 2024-03-29 12:11:02 发布
阅读量7.4k 收藏 19
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16063307/article/details/105853374
版权

背景说明

一个账号只能一处登录,类似的业务需求在现有后管类系统是非常常见的。 但在原有的 spring security oauth2 令牌方法流程(所谓的登录)无法满足类似的需求。

我们先来看 TokenEndpoint 的方法流程

客户端 带参访问 /oauth/token 接口,最后去调用 TokenGranter

TokenGranter 根据不同的授权类型,获取用户认证信息 并去调用TokenServices 生成令牌

重新 TokenService

  • 重写发放逻辑createAccessToken,当用户管理的令牌存在时则删除重新创建,这样会导致之前登陆获取的token 失效,顺理成章的被挤掉。
    @Transactional
    public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {

        OAuth2AccessToken existingAccessToken = tokenStore.getAccessToken(authentication);
        OAuth2RefreshToken refreshToken = null;
        // 重写此处,当用户关联的token 存在时,删除原有令牌
        if (existingAccessToken != null) {
            tokenStore.removeAccessToken(existingAccessToken);
        }
        else if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
            ExpiringOAuth2RefreshToken expiring = (ExpiringOAuth2RefreshToken) refreshToken;
            if (System.currentTimeMillis() > expiring.getExpiration().getTime()) {
                refreshToken = createRefreshToken(authentication);
            }
        }

        OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);
        tokenStore.storeAccessToken(accessToken, authentication);
        // In case it was modified
        refreshToken = accessToken.getRefreshToken();
        if (refreshToken != null) {
            tokenStore.storeRefreshToken(refreshToken, authentication);
        }
        return accessToken;
    }

重写 Token key 生成逻辑

  • 如上代码,我们实现用户单一终端的唯一性登录,什么是单一终端 我们可以类比 QQ 登录 移动端和 PC 端可以同时登录,但 移动端 和移动端不能同时在线。
  • 如何能够实现 在不同客户端也能够唯一性登录呢?

先来看上文源码 OAuth2AccessToken existingAccessToken=tokenStore.getAccessToken(authentication); 是如何根据用户信息判断 token 存在的呢?

public OAuth2AccessToken getAccessToken(OAuth2Authentication authentication) {
        String key = authenticationKeyGenerator.extractKey(authentication);
          // redis 查询逻辑,根据 key
        return accessToken;

}
  • AuthenticationKeyGenerator key值生成器 默认情况下根据 username/clientId/scope 参数组合生成唯一token
public String extractKey(OAuth2Authentication authentication) {
    Map<String, String> values = new LinkedHashMap<String, String>();
    OAuth2Request authorizationRequest = authentication.getOAuth2Request();
    if (!authentication.isClientOnly()) {
        values.put(USERNAME, authentication.getName());
    }
    values.put(CLIENT_ID, authorizationRequest.getClientId());
    if (authorizationRequest.getScope() != null) {
        values.put(SCOPE, OAuth2Utils.formatParameterList(new TreeSet<String>(authorizationRequest.getScope())));
    }
    return generateKey(values);
}
  • 若想实现,多终端的唯一性登录,只需要使得同一个用户在多个终端生成的 token 一致,加上上文提到的 createToken 修改逻辑,既去掉extractKey 的 clientId 条件,不区分终端即可
public String extractKey(OAuth2Authentication authentication) {
    Map<String, String> values = new LinkedHashMap<String, String>();
    OAuth2Request authorizationRequest = authentication.getOAuth2Request();
    if (!authentication.isClientOnly()) {
        values.put(USERNAME, authentication.getName());
    }
    if (authorizationRequest.getScope() != null) {
        values.put(SCOPE, OAuth2Utils.formatParameterList(new TreeSet<String>(authorizationRequest.getScope())));
    }
    return generateKey(values);
}
  • 最后在 authserver 中注入新的 TokenService 即可 image
pig_冷冷
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Spring Security OAuth2 实现登录的示例代码
08-19
主要介绍了Spring Security OAuth2实现登录的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity实现掉前一个登录用户
qq_34136709的博客
05-09 2949
SpringSecurity实现掉前一个登录用户 1.需求分析 要实现一个用户不可以同时在两台设备上登录,有两种思路: (1)后来的登录自动掉前面的登录,就像大家在扣扣中看到的效果 (2)如果用户已经登录,则不允许后来者登录。 这种思路都能实现这个功能,具体使用哪一个,还要看我们具体的需求。 在 Spring Security 中,这两种都很好实现,一个配置就可以。 2.具体实现 (1)掉前面的登录 想要用新的登录掉旧的登录,我们只需要将最大会话数设置为 1 即可,配置如下: @Override p
Spring Security+JWT+OAuth2实现同一账号重复登录时第一次登陆成功的强制下线(包括多平台使用同一个登陆系统的)
油条的博客
04-19 2331
引言 我们后台项目是用Spring Security+JWT+OAuth2做的安全框架,现在有个需求就是同一账号重复登录时第一次登陆成功的强制下线。尝试了很多方法无果,当时真的是被弄得焦头烂额了。最后功夫不负有心人找到了解决方案,下面跟大家分享下。 单平台 具体实现方案就是重写DefaultTokenServices的createAccessToken方法(下发token的方法) 虽说是重写但是我们新建了一个SingleTokenServices类,将DefaultTokenServices中的方法复制过来
账号多端实现思路
最新发布
程序猿踩坑集锦
03-29 358
你需要一个机制来跟踪每个账号的当前登录状态。这通常通过数据库、缓存系统(如Redis)或分布式会话管理来实现。:当用户尝试登录时,系统需要验证其凭据,并在验证成功后更新其登录状态。:为每个登录的会话分配一个唯一的标识符(如JWT、Session ID等),并在用户与系统进行交时使用此标识符来识别用户。:当检测到同一账号在另一个终端登录时,需要有一个逻辑来找到并终止前一个会话。
Spring Security OAuth2笔记系列】- 【使用Spring MVC开发RESTful API】 用户信息修改和删除
代码有毒的博客
08-14 642
用户信息修改和删除 本节类容 常用的验证注解 自定义消息 自定义校验注解 常用的验证注解 自己官网或则百度吧。 官网文档 http://hibernate.org/validator/documentation/ https://docs.jboss.org/hibernate/stable/validator/reference/en-US/html_sing...
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
凡的博客
04-19 9445
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
OAuth2接入第三方认证平台实战(登录,注销,当前用户,自定义异常,白名单)
人生智慧的博客
03-14 6368
1 演示 先演示一波 (1)不携带token访问资源 (2)登录 (3)携带token访问资源 (4)注销 (5)注销后访问资源 (6)登录后再次访问资源 演示完毕,开始讲解 2 授权模式选择 本项目选择密码模式,原因如下, 同一个企业内部的不同产品要使用本企业的 oAuth2.0 体系。在有些情况下,产品希望能够定制化授权页面。由于是同个企业,不需要向用户展示“xxx将获取以下权限”等字样并询问用户的授权意向,而只需进行用户的身份认证即可。这个时候,由具体的产品团队开发定制化的授权界面,接收用
oauth2在JAVA中实现_如何用Spring Security OAuth2 实现登录,面试必学
weixin_42162171的博客
02-24 1861
背景说明一个账号只能一处登录,类似的业务需求在现有后管类系统是非常常见的。 但在原有的 spring security oauth2 令牌方法流程(所谓的登录)无法满足类似的需求。我们先来看TokenEndpoint的方法流程客户端 带参访问 /oauth/token 接口,最后去调用TokenGranter另外要注意:突破高薪Java架构项目经验永远是核心,如果你没有最新JAVA架构实战...
SpringSecurity整合springBoot、redis——实现登录
mofsfely2的博客
05-09 2136
背景 基于我的文章——《SpringSecurity整合springBoot、redis token动态url权限校验》。要实现的功能是要实现一个用户不可以同时在两台设备上登录,有两种思路: (1)后来的登录自动掉前面的登录。 (2)如果用户已经登录,则不允许后来者登录。 需要特别说明的是,项目的基础是已经是redis维护的session。 配置redisHttpSession 设置spring session由redis 管理。 2.1去掉yml中的http session 配置,yml和注解两者只选其
Spring Security 自动掉前一个登录用户实现代码
08-19
主要介绍了Spring Security 自动掉前一个登录用户实现代码,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
基于oauth2+security实现的SSO单点登录案例
10-14
基于spring security oauth2 实现的SSO单点登录案例,本案例非常完整,值得用于参考学习spring+security+oauth2
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
本篇文章主要介绍了Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
使用Spring Security OAuth2实现单点登录
08-25
在本教程中,我们将讨论如何使用Spring Security OAuthSpring Boot实现SSO - 单点登录。感兴趣的朋友跟随小编一起看看吧
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
主要介绍了Spring Security OAuth2集成短信验证码登录以及第三方登录,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
微信扫一扫登录、微信支付、springsecurity&oauth2
09-26
项目中使用到的技术包含SpringBoot、SpringSecurity&oauth2(安全资源和授权中心模式、包括登录接口自定义返回字段、自定义手机号+密码登录、自定义免密登录)、Queue队列、线程池、xss攻击配置、SpringCache、Mybatis...
springboot +springsecurity+redis 实现登录验证 session 共享
qq_37014611的博客
11-14 2141
我们知道 springsecurityspring 家族中一个安全登录框架 简介的话 大家可以去百度搜索一下 我这就不一一介绍了 主要是懒 废话不多说 直接上代码 需要的pom 文件 我这里用的是redis +mybatis plus +mysql +springboot +springsecurity+spring-seesion <?xml version="1.0" en...
Spring Security OAuth2 实现多人登录下线
06-06
Spring Security OAuth2 支持多种授权方式,包括基于令牌(Token)的授权方式。实现多人登录下线,可以通过以下步骤实现: 1. 配置 Spring Security OAuth2,包括授权服务器和资源服务器。 2. 在授权服务器中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值