Spring Cloud Security:Oauth2结合JWT使用

已于 2024-04-29 22:59:12 修改
阅读量1.2k 收藏 1
点赞数 2
分类专栏: SpringCloud 文章标签: spring cloud
于 2022-09-22 11:00:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19636353/article/details/126987926
版权

Spring Cloud Security:Oauth2结合JWT使用

Springsecurity 默认生成Token

Springsecurity默认生成Token的方法是DfaultTokenServices的createAccessToken方法:
链接 https://blog.csdn.net/qq_42654484/article/details/95216037

private OAuth2AccessToken createAccessToken(OAuth2Authentication authentication, OAuth2RefreshToken refreshToken) {
    DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(UUID.randomUUID().toString());
    int validitySeconds = this.getAccessTokenValiditySeconds(authentication.getOAuth2Request());
    if (validitySeconds > 0) {
        token.setExpiration(new Date(System.currentTimeMillis() + (long)validitySeconds * 1000L));
    }
    token.setRefreshToken(refreshToken);
    token.setScope(authentication.getOAuth2Request().getScope());
    return (OAuth2AccessToken)(this.accessTokenEnhancer != null ? this.accessTokenEnhancer.enhance(token, authentication) : token);
}

在这里插入图片描述

创建oauth2-jwt-server模块

使用Redis存储令牌,在pom.xml中添加Redis相关依赖,在application.yml中添加redis相关配置

TokenStore 令牌的存储策略

令牌的存储策略,这里使用的是JwtTokenStore,使用JWT的令牌生成方式,还有以下两个比较常用的方式:

RedisTokenStore:将令牌存储到Redis中,此种方式相对于内存方式来说性能更好
JdbcTokenStore:将令牌存储到数据库中,需要新建从对应的表

RedisTokenStore
  • 使用RedisTokenStore 存储令牌,在认证服务器配置中指定令牌的存储策略为Redis

添加在Redis中存储令牌的配置:
在这里插入图片描述

  • 进行获取令牌操作,可以发现令牌已经被存储到Redis中。
    在这里插入图片描述
    在这里插入图片描述

JwtTokenStore 使用JWT存储令牌

AccessTokenConverter

AccessTokenConverter 令牌增强类,用于JWT令牌和OAuth身份进行转换。
作用是把token字符串转换成OAuth2AccessToken对象。

启动服务

运行项目后使用密码模式来获取令牌,访问如下地址:http://localhost:9401/oauth/token
发现获取到的令牌已经变成了JWT令牌。
在这里插入图片描述

Postman请求结果,获取到的access_token已经变成了JWT令牌。
在这里插入图片描述
将access_token拿到https://jwt.io/ 网站上去解析下可以获得其中内容。

{
  "exp": 1572682831,
  "user_name": "macro",
  "authorities": [
    "admin"
  ],
  "jti": "c1a0645a-28b5-4468-b4c7-9623131853af",
  "client_id": "admin",
  "scope": [
    "all"
  ]
}

TokenEnhancer 扩展JWT中存储的内容

有时候我们需要扩展JWT中存储的内容,这里我们在JWT中扩展一个key为enhance,value为enhance info的数据。

JwtTokenEnhancer

JwtTokenEnhancer 继承TokenEnhancer 实现一个JWT内容增强器,并实例化该JwtTokenEnhancer。
在这里插入图片描述

  • 在认证服务器配置中配置JWT的内容增强器:

在这里插入图片描述
运行项目后使用密码模式来获取令牌,之后对令牌进行解析,发现已经包含扩展的内容。

在这里插入图片描述

问题:access_token不是jwt格式了

AccessTokenConverter 作用是把token字符串转换成OAuth2AccessToken对象。
TokenEnhancer作用是在OAuth2AccessToken 里添加额外的信息。
JwtAccessTokenConverter 即实现了AccessTokenConverter接口,也实现了TokenEnhancer接口。

JWT工具解析存储内容

修改UserController类,使用jjwt工具类来解析Authorization头中存储的JWT内容。
在pom.xml中添加JWT工具包依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

在这里插入图片描述

在这里插入图片描述

刷新令牌

修改认证服务器的配置,在authorizedGrantTypes中增加授权类型:refresh_token
在这里插入图片描述

  • 使用刷新令牌模式来获取新的令牌,访问地址:http://localhost:9401/oauth/token
    在这里插入图片描述

参考地址

https://www.macrozheng.com/cloud/oauth2_jwt.html#%E4%BD%BF%E7%94%A8jwt%E5%AD%98%E5%82%A8%E4%BB%A4%E7%89%8C

SpringSceurity使用TokenEnhancer和JwtAccessConverter增强jwt令牌原理
链接 https://blog.csdn.net/qq_42654484/article/details/95216037

Lyndon1107
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jwtToken
weixin_45143899的博客
09-27 617
jwt
Spring Cloud SecurityOauth2使用入门
weixin_47238995的博客
09-14 1635
Spring Cloud SecurityOauth2使用入门 Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2可以实现单点登录、令牌中继、令牌交换等功能,本文将对其结合Oauth2入门使用进行详细介绍。 OAuth2 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 OAuth2 相关名词解释 Resource owner(资
Spring Security TokenStore实现3+1详解
weixin_34205826的博客
12-29 1113
TokenStore:Persistence interface for OAuth2 tokens.(对于OAuth2令牌持久化接口) 官方文档 TokenStore 的默认实现有三种: InMemoryTokenStore JdbcTokenStore JwtTokenStore 此外,将会根据TokenStor的特性多自定义一种实现——RedisTokenStore 一、InMem...
Spring Security OAuth2 自定义(增强)token信息
qq_36551991的博客
12-05 1277
Spring Security OAuth2提供了默认的token生成方式,但是有时候我们需要token携带一些我们自定义的信息,例如用户名、id等,这就需要我们自定义token信息
JwtAccessConverter&JwtTokenStore&jdbc建表结构
最新发布
pscool的博客
06-07 393
可参考:https://www.cnblogs.com/hellxz/p/12044340.html。下载对应的openssl版本,只需要一直点下一步即可,安装完毕后,将它的bin目录配置到环境变量。在my-auth.jks同目录下,执行命令导出公钥,需要输入口令:123456。使用jwt(非对称加密)
SpringSecurity-Oauth2 之JWT令牌详解
qq_42861526的博客
08-06 3613
这两个时机的执行都是依靠JwtAccessTokenConverter来完成的注意:上面说的只是组件,JWT暴露给SpringSecurity的服务是tokenService,SpringSecurity也是通过tokenService来完成token的生成、解析以及存储的 (二) 组件之间的依赖关系 JWT暴露给tokenService使用的类是tokenStore,而tokenStore又依赖于accessTokenConvert和authenticationConvert完成token的生成和解析
Spring Security Oauth2 中实现TokenEnhancerjwt中添加额外信息
热门推荐
cauchy6317的博客
12-20 3万+
在实现了Oauth2后,我们拿到的jwt中的json是下图的形式。 这里面的json字段是默认的,如果我们想加入一些额外的有用信息该怎么做? 首先,你要实现TokenEhancer(令牌增强器)中的 ehance方法。 public class CustomTokenEnhancer implements TokenEnhancer { @Override public OA...
spring security oauth2 TokenEnhancer加强token不生效
大胡子_biu
08-28 2524
问题 在AuthorizationServerConfigurerAdapter.configure(AuthorizationServerEndpointsConfigurer endpoints)方法中配置了 endpoints.tokenEnhancer();但是没有生效。 要加强token是因为原始token信息带的太少,需要附加一些额外信息给调用方 解决 看了一下config里面,配置的tokenEnhancer实际上是给TokenService用的。 security默认生成一个DefaultT
Springsceurity使用TokenEnhancerJwtAccessConverter增强jwt令牌原理
qq_42654484的博客
07-09 1万+
什么是JWT JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。(更多信息建议去官网了解) 使用JWT替换传统Token有很多好处,比如: 简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快 自包含(Self-contained):...
Spring Security Oauth2使用JWT生成Token
LiaoHongHB的博客
11-13 7747
转载务必说明出处:https://blog.csdn.net/LiaoHongHB/article/details/84031281 在我们平时使用oauth2的协议中,生成的token是基于oauth2协议本身的生成策略,如下面的代码(一般在登陆成功的handler中生成token).: package com.car.springsecurity.handle; import com....
springcloud整合oauth2和jwt
04-09
Spring Cloud中,我们可以使用Spring Security OAuth2模块来实现OAuth2的授权服务器和资源服务器。 1. **OAuth2流程**: - 授权请求:客户端(如浏览器或移动应用)引导用户到授权服务器进行登录。 - 用户授权...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发...
验证服务:Spring Security + OAuth2.0 + JWT
02-21
更改日志2018.9.1版本升到2.0-SNAPSHOT ,要使用sb1.5.x版本,请切换到TAG 1.0-RELEASE Spring Cloud Security升级到Finchley.RELEASE ,Spring Boot由1.5.X升级到2.0.X。 < dependency> < groupId>org.spring...
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
Spring Cloud中,使用`ResourceServerConfigurerAdapter`进行配置,通常需要配置访问令牌的解析方式,如JWT(JSON Web Tokens)或者OAuth2的Resource Server端点。 单点登录(SSO)允许用户在一个系统登录后,...
Oauth2 令牌的存储 -- JwtTokenStore、授权服务器的配置与开发
awodwde的博客
02-20 1324
由实现类我们可以清楚的看到 存储令牌的方式有:存储在JDBC数据库中,存储在Redis中,存储在内存中(memory,授权服务器关闭,token失效) 而我们实际项目是使用的是JwtTokenStore JWK : json web key JwtTokenStore: 可以实现无状态,认证服务器不存储token,可以采用jwtTokenStore 授权服务器的配置 继承 AuthorizationServerConfigurerAdapter 重写三个configure方...
SpringSecurity OAuth2中关于TokenStore实现类JwtTokenStore的详解
向心行者
01-17 6559
1、前言   在《SpringSecurity OAuth2中真正创建Token的实现类DefaultTokenServices、TokenStore(Token存储管理)的详解》中,我们分析了在OAuth2中,Token是如何创建的,同时也了解了TokenStore是如何管理Token的,并详细分析了InMemoryTokenStore 实现类的逻辑,而JdbcTokenStore 和 RedisTokenStore 实现思路是类似的,但是JwtTokenStore 的实现类就和InMemoryToken
微服务统一认证方案Spring Cloud OAuth2+JWT
Ginnnnnnn的博客
11-07 3331
微服务统一认证方案
Spring Security Oauth2配置类AuthorizationServerConfigurerAdapter
wangooo的博客
02-23 1万+
AuthorizationServerConfigurerAdapter中: ClientDetailsServiceConfigurer:用来配置客户端详情服务(ClientDetailsService),客户端详情信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息。 AuthorizationServerSecurityConfigurer:用来配置令牌端点(Token Endpoint)的安全约束. AuthorizationServerEndpointsC
jwt需要存redis吗_Spring Cloud SecurityOauth2结合JWT使用
06-09
JWT本身不需要存储在Redis中,但是在使用Spring Cloud SecurityOAuth2结合JWT时,可能需要将JWT存储在Redis中以实现分布式环境下的用户认证和授权。具体来说,可以将JWT存储在Redis中,并使用Redis作为Token存储库...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值