OAuth2有了token为啥还要refresh token

最新推荐文章于 2024-07-29 14:22:26 发布
最新推荐文章于 2024-07-29 14:22:26 发布
阅读量826 收藏
点赞数
文章标签: 服务器 java tomcat maven Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27210677/article/details/129197118
版权

一、OAuth2

  1. OAuth2简介

  1. OAuth2是一种授权框架,用于允许第三方应用程序(客户端)在不知道用户的凭证(例如用户名密码)的情况下,访问受保护的资源(比如用户的个人信息,通讯录等)。

  1. OAuth2协议包含的角色

  1. 资源持有者:拥有受保护资源的用户

  1. 客户端:请求访问受保护资源的应用程序

  1. 授权服务器:验证资源持有这会儿、授予客户端访问令牌的服务器

  1. 资源服务器:存储收保护资源的服务器,只允许访问令牌来保护资源

  1. OAuth协议通常包括以下步骤,如下图OAuth2协议流程图所示:

  1. 请求获取访问令牌

  1. 客户端发出授权请求

  1. 授权服务区向资源服务器发出授权请求

  1. 资源服务器同意授权

  1. 授权服务器颁发令牌给客户端

  1. 根据访问令牌访问受保护资源

  1. 客户端使用访问令牌向资源服务器发起 访问(受保护资源)

  1. 资源服务器验证令牌并返回受保护资源

  1. 用户授权的含义是?

  1. 用户授权就是指用户允许一个应用程序或服务访问其受保护的资源(例如个人信息、通讯录等)的过程

  1. 在OAuth2授权框架中,access token 、refresh token授权认证的令牌,但他们的作用是不同的。

二、access token

access token 就是普通理解的token,用于唯一身份的标识,每次在请求后端,访问受保护的资源时,比如用户的个人信息,通讯录等,需要通过access token令牌来 访问受保护的资源。

三、refresh token

refres token是用于更新access token的令牌,因为access token 的过期时间较短,当access token 过期时,客户端需要通过refresh token 获取欣的access token。这样做的好处是避免了再次请求用户授权。

四、举例说明

access token 就像一把钥匙,想进门,就需要这把钥匙。而refresh token 就像一个钥匙管家,如果想要换开门的钥匙,就可以直接通过refresh token 换一个access token。这样一来,在access token失效时,不需要去找主人重新确认一遍主人就是这个房子的主人,才给配一把新的access token钥匙。而是直接找管家 refresh token,换一把accesstoken就好了。

芳华依存
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oauth2如何refreshToken
m0_46190243的博客
09-29 5068
oauth2如何refreshToken? post请求,跟请求token一样的url地址:http://localhost:9098/oauth/token post需要的参数: grant_type :refresh_token” client_id:分配的客户端id client_secret:分配的客户端密码 refresh_token:值为上一次请求返回值中"refresh_token 实例如下所示 oauth2配置文件需要设置支持refreshToken @Override pu
oauth2 token为空拦截_配合OAuth2进行单设备登录拦截
weixin_39750410的博客
12-19 1118
要进行单设备登录,在其他地点登录后,本地的其他操作会被拦截返回登录界面。原理就在于要在登录时在redis中存储Session,进行操作时要进行Session的比对。具体实现,假设我们的OAuth 2的登录调用接口如下:共享Session,User模块跟OAuth模块都要设置@Configuration@EnableRedisHttpSessionpublic class SessionConfig...
OAuth2.0的refresh token
wenlei_zhouwl的专栏
02-13 4万+
转载自http://www.html-js.com/?p=1297 最近看人人网的OAuth认证,发现他是OAuth2.0,之前一直看的是新浪的OAuth,是OAuth1.0. 二者还是有很多不同的,主要的不同点在access token的获取方式. OAuth1.0的access token获取过来之后,就可以存到数据库里,然后长期使用,因为它有效期很长,通常有效期
oauth2.0授权协议中刷新令牌refresh token的工作原理及生命周期分析
bobozai86的博客
12-17 1万+
在学习oauth2.0协议的时候,对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌,以及刷新令牌是如何工作的,技术细节是啥?比如通过refresh token可以让access token永久不过期吗? 下面就针对这两个问题进行分析。 为什么需要刷新令牌 如果access token超时时间很长,比如14天,由于第三方软件获取受保护资源都要带着access token,这样access token的攻击面就比较大。如果access token超时时间很短,比如1个小时,那其超时
OAuth2(三)自定义刷新令牌逻辑 refresh_token
weixin_54889617的博客
12-10 4221
OAuth2自定义刷新refresh_token
Spring Security OAuth2 Redis存储token refresh_token永不过期问题详解
OceanSky的专栏
07-27 1万+
1.先看几个实现类,然后再看源码分析这样会更清晰 OAuth2AccessToken接口的默认实现是DefaultOAuth2AccessToken类(自带过期时间属性) OAuth2RefreshToken接口的默认实现是DefaultOAuth2RefreshToken类(不带过期时间属性) ExpiringOAuth2RefreshToken接口父接口是OAuth2RefreshToke...
spring security oauth2 自动刷新续签token (refresh token)
热门推荐
m0_37834471的博客
10-20 6万+
1.引言 前提:了解spring security oauth2的大致流程(对过滤器的内容有一定的了解) 主要思路: 首先用过期token访问受拦截资源 认证失败返回401的时候调用异常处理器 通过异常处理器结合refresh_token进行token的刷新 刷新成功则通过请求转发(request.getRequestDispatcher)的方式再次访问受拦截资源 2.源码分析核心过滤器...
springsecurity oauth2中refresh token模式需要注意的点
chuixue24的博客
12-16 3303
oauth2官方只有4种授权方式,不过springsecurity oauth2把refresh token也归为authorizedGrantTypes的一种,因此 springsecurity的oauth2实现有5中模式。 authorization_code 权码模式(即先登录获取code,再获取token) impli...
oauth2 token为空拦截_SpringBoot 整合 oauth2(三)实现 token 认证
weixin_39543655的博客
12-19 851
关于session和token的使用,网上争议一直很大。总的来说争议在这里:session是空间换时间,而token是时间换空间。session占用空间,但是可以管理过期时间,token管理部了过期时间,但是不占用空间.sessionId失效问题和token内包含。session基于cookie,app请求并没有cookie 。token更加安全(每次请求都需要带上)。开始正文了...本文大概流程...
OAuth2获取token报错invalid stream header
12-14
记一次异常解决:OAuth2获取token...检查需要创建的OAuth2的几张表:oauth_access_tokenoauth_approvals、oauth_client_details、oauth_client_tokenoauth_code、oauth_refresh_token 这几张表的字段类型一定要设
Spring Security OAuth 个性化token的使用
08-26
在实际应用中,我们可以使用DefaultTokenServices来获取token,DefaultTokenServices会调用createAccessToken方法,生成OAuth2AccessToken对象。在createAccessToken方法中,我们需要进行一系列判断,例如合法性、...
refreshtoken_tester:OAuth2刷新令牌测试仪
05-05
refreshtoken_tester OAuth2刷新令牌测试仪 在config.js中重命名config_template.js并设置您的值 根据您的授权服务器设置调整时间设置,以测试不同的行为。 节点index.js或节点调试index.js(如果已安装节点检查器...
oauth2-token-manager:生成、验证和刷新 OAuth2 令牌。 代币兑换码。 不承担任何特定的代币存储
06-17
特征 没有关于令牌存储类型的假设。 您可以存储与发布的令牌相... assert.ok(obj.refreshToken); }); 代币兑换码 tokenManager .exchange(exchangeCode, redirectUri) .then(function(obj){ assert.ok(obj.acc
httpclient请求oauth服务器中的token
07-23
6. **刷新令牌**:当访问令牌过期,客户端可使用刷新令牌发起新的POST请求到令牌端点,grant_type设为"refresh_token",并提供刷新令牌和基础认证信息。 7. **安全考虑**:务必妥善保存访问令牌和刷新令牌,避免...
Linux基础命令
weixin_68540670的博客
07-25 1516
Linux中一切从根开始Linux中一切皆文件。
java springboot 集成 阿里通义千问
qq_25987725的博客
07-25 393
一、在阿里云https://www.aliyun.com官网直接搜索“通义千问”,点击“开通DashScope”进行服务激活。四、在config目录添加配置 TongYiAiConfiguration.java。三、在yml中配置中配置key。二、加入Maven依赖。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 444
1.导入hutool的maven依赖。2.复制一下代码执行。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 243
1.导入hutool的maven依赖。2.直接复制一下代码运行。
oauth2 刷新token
05-25
OAuth2 协议中,Refresh Token 是用于获取新的 Access Token 的一种凭证,它通常会在用户授权的同时被颁发给第三方应用程序,在 Access Token 过期后,第三方应用程序可以使用 Refresh Token 向授权服务器请求新的 Access TokenRefresh Token 的使用流程如下: 1. 第三方应用程序向授权服务器请求 Refresh Token; 2. 授权服务器验证 Refresh Token 的有效性; 3. 如果 Refresh Token 有效,则颁发新的 Access Token; 4. 如果 Refresh Token 无效,则需要用户重新授权。 在使用 Refresh Token 获取新的 Access Token 时,需要向授权服务器发送一个包含 Refresh Token 的请求,请求中需要包含以下参数: - grant_type:固定值为 refresh_token; - refresh_token:之前颁发的 Refresh Token; - client_id:第三方应用程序的身份标识; - client_secret:第三方应用程序的身份密钥。 例如,一个使用 Refresh Token 刷新 Access Token 的请求如下所示: ``` POST /oauth/token HTTP/1.1 Host: authorization-server.com Content-Type: application/x-www-form-urlencoded grant_type=refresh_token &refresh_token=xxxxxxxxxx &client_id=xxxxxxxxxx &client_secret=xxxxxxxxxx ``` 授权服务器收到请求后,会验证 Refresh Token 的有效性,并颁发新的 Access Token。如果 Refresh Token 无效,则会返回错误响应。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值