SpringBoot OAuth2.0 refresh_token(刷新令牌)

于 2021-03-26 17:59:38 发布 2167 收藏 2
分类专栏: SpringBoot 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29164699/article/details/115252285
版权

SpringBoot OAuth2.0 刷新令牌

通常在 access_token 时间过期后,需要去获取新的 token 才能继续访问接口

在 使用 SpringSecurity + OAuth2.0, 可以采用 refresh_token 模式重新申请 access_token

修改 MooseAuthorizationServerConfiguration 文件

 /**
   * Authorization Server endpoints.
   *
   * @throws Exception
   */
  @Override
  public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    endpoints
        .tokenGranter(tokenGranter(endpoints))
        .tokenStore(tokenStore())
        .exceptionTranslator(customOAuth2ResponseExceptionTranslator);

    // 用于支持密码模式
    endpoints.authenticationManager(authenticationManager);

	// 刷新令牌必须添加上,不添加报错 "UserDetailsService is required."
    // userDetailsService refresh_token
    endpoints.userDetailsService(userDetailsService);
  }

修改 oauth_client_details 表

authorized_grant_types 字段添加上 refresh_token 类型,不添加报错 “Unauthorized grant type: refresh_token”

测试

先访问获取 access_token 令牌

http://localhost:7000/oauth/token?password=123456&username=江景&grant_type=password&client_id=client&client_secret=secret

image-20201210114428765

那获取到的 access_token 去刷新令牌,获取到最新的 access_token 和 refresh_token

http://localhost:7000/oauth/token?grant_type=refresh_token&refresh_token=f6c882b8-d9e1-43c3-b41d-291b335775d9&client_id=client&client_secret=secret

最新的 access_token 访问需要授权的接口

如果拿 第 1 步 中的 access_token,访问接口,这个时候是不能访问的,已经被 refresh_token 刷新调了。

关注公众号 「全栈技术部」,不断学习更多有趣的技术知识。

狮子大大
关注
  • 0
    点赞
  • 2
    收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot+Redis】实现多端登录+token自动续期和定期刷新+自定义注解和拦截器实现鉴权(角色和权限校验)
weixin_43165220的博客
12-22 836
SpringBoot+Redis】实现多端登录、防止重复登录+token自动续期和定期刷新+自定义注解和拦截器实现鉴权。将登录相关、退出、token相关的这些操作,全部抽出来,放到一个自定义的@Component组件中,在这里实现具体过程,其他地方我们不用关心实现步骤,只需要直接调用这里面的相关方法就行。鉴权相关将角色和角色对应的权限放到缓存中,每次请求时在拦截器里从缓存中拿到角色和权限进行校验。
OAuth2.0refresh token
wenlei_zhouwl的专栏
02-13 4万+
转载自http://www.html-js.com/?p=1297 最近看人人网的OAuth认证,发现他是OAuth2.0,之前一直看的是新浪的OAuth,是OAuth1.0. 二者还是有很多不同的,主要的不同点在access token的获取方式. OAuth1.0的access token获取过来之后,就可以存到数据库里,然后长期使用,因为它有效期很长,通常有效期
OAuth2.0 - 刷新令牌
最新发布
baidu_41678158的博客
12-14 90
刷新令牌是用于获取访问令牌的凭据。刷新令牌由授权服务器颁发给客户端,用于在当前访问令牌失效或过期时获取新的访问令牌,或者获取具有相同或更窄范围的附加访问令牌(访问令牌可能具有更短的范围)生命周期和少于资源所有者授权的权限)。颁发刷新令牌是可选的,由授权服务器决定。因为刷新令牌通常是用于请求额外的访问令牌的持久凭证,刷新令牌绑定到被它被颁发给的客户端。如果通过客户端凭证模式,建议选定其他的身份验证。的过期时间保存下来,每次调用平台方的业务。进行一下时间判断,如果过期则执行刷新。如果过期就只能让用户重新授权。
OAuth2.0refresh_token更新access_token令牌
张俊杰 的博客
02-07 3456
概述 使用oauth2时,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。只需修改认证服务器的配置,添加refresh_token的授权模式即可。 修改授权服务器配置,增加refresh_token配置 ​ @Autowired private UserService userService; @Override public void configure(AuthorizationServerEndpointsConfigurer endpoint
spring security oauth2 自动刷新续签token (refresh token)
热门推荐
m0_37834471的博客
10-20 5万+
1.引言 前提:了解spring security oauth2的大致流程(对过滤器的内容有一定的了解) 主要思路: 首先用过期token访问受拦截资源 认证失败返回401的时候调用异常处理器 通过异常处理器结合refresh_token进行token刷新 刷新成功则通过请求转发(request.getRequestDispatcher)的方式再次访问受拦截资源 2.源码分析核心过滤器...
Oauth2.0实现token刷新功能(二)
康小虎的博客
04-22 2515
文章目录前言直接上代码总结 前言 之前写过一篇“Oauth2.0实现token刷新功能”,发现大家阅读的还是特别多,那个是基于Spring Cloud实现的刷新功能,现在将它改为基于普通过滤器实现token刷新。 直接上代码 基本思路还是跟之前一样,过滤器拦截请求验证tokentoken过期后请求单点登录服务器换取新的access_tokenrefresh_token,将两个token放到过滤器返回体的头部。从而不影响本次请求,同时还能在本次请求的过程中做到无痕刷新token。 @Override
oauth2.0授权协议中刷新令牌refresh token的工作原理及生命周期分析
u013905744的专栏
12-16 5885
在学习oauth2.0协议的时候,对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌,以及刷新令牌是如何工作的,技术细节是啥?比如通过refresh token可以让access token永久不过期吗? 下面就针对这两个问题进行分析。 为什么需要刷新令牌 如果access token超时时间很长,比如14条,由于第三方软件获取受保护资源都要带着access token,这样access token的攻击面就比较大。 如果access token超时时间很短,比如1个小时,那其超时之后
Springboot+Axios双token解决token过期续签问题
huang714的专栏
11-10 674
Springboot+Axios双token解决token过期续签问题
Oauth2.0(三):Access TokenRefresh Token
blowing00的专栏
02-28 2199
access token 是应用方访问资源服务器的接口时,需要提供的一个令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access token 泄露而带来的风险。 然而引入了有效期之后,应用方使用起来就不那么方便了。每当 ...
鉴权中心之oauth2 -PostMan请求Oauth2.0刷新Token报错401 Unauthorized和Invalid_client Bad Client Credentials的解决方案
xulong5000的专栏
07-03 9682
关于这个问题,在网上找了很多,但是都没有解决我的问题。 首先,刷新Token调用的接口是/Oauth/Token,其中参数有 Grant_type=Refresh_token Refresh_token=你的Refresh Token 这两个参数没有问题,但一直困扰我的是到底需不需要Client_id和Client_secret这两个参数。网上有的说要,有的没有又可以得出正常结果。 从结论开始说吧,Client_id和Client_secret这两个参数需要!! 如果不带这两个参数,返回的.
【三】springboot整合token(超详细)
weixin_56995925的博客
09-03 8147
介绍:接下来我会把学习阶段学到的框架等知识点进行整合,每一次整合是在前一章的基础上进行的,所以后面的整合不会重复放前面的代码。每次的demo我放在结尾,本次是接着上一章的内容延续的,只增加新增的或者修改的代码。 整合token,每次请求接口时进行token效验,效验通过才可以请求到接口,我是通过jwt生成的tokentoken个人理解大概就是用来判断用户登录状态,是否已登录的。 首先展示一下目录结构,是根据前面几章进行的增加(原因:内容过多),如下: 第一步:新增依赖(在pom文件增加)..
Spring oauth2+JWT后端自动刷新access_token
竹林幽深
07-28 747
大家好,我是你们的导师,我每天都会在这里给大家分享一些干货内容(当然了,周末也要允许老师休息一下哈)。上次老师跟大家分享了下精选JAVA开源项目脚手架的相关知识,今天跟大家分享Spring oauth2+JWT后端自动刷新access_token的知识。 1Spring oauth2+JWT后端自动刷新access_token 参考来源:https://cnblogs.com/braska/p/13368284.html 这段时间在学习搭建基于spring bootspring oauth2..
Spring Security OAuth2 Redis存储token refresh_token永不过期问题详解
明洋的专栏
07-27 1万+
1.先看几个实现类,然后再看源码分析这样会更清晰 OAuth2AccessToken接口的默认实现是DefaultOAuth2AccessToken类(自带过期时间属性) OAuth2RefreshToken接口的默认实现是DefaultOAuth2RefreshToken类(不带过期时间属性) ExpiringOAuth2RefreshToken接口父接口是OAuth2RefreshToke...
SpringBoot项目中设计刷新令牌
晓梦林的博客
07-08 422
一、为什么要刷新Token的过期时间? 我们在定义JwtUil工具类的时候,生成的Token都有过期时间。 那么问题来了,假设Token过期时间为15天,用户在第14天的时候,还可以免登录正常访问系统。 但是到了第15天,用户的Token过期,需要用户重新登录系统。 HttpSession的过期时间默认为15分钟。如果用户连续使用系统,只要间隔时间不超过15分钟,系统就不会销毁HttpSession对象。 JWT的令牌过期时间能不能做成HttpSession那样超时时间,只要用户间隔操作时间不超过15天,
Spring Security OAuth2实现多用户类型认证、刷新Token
Ying的博客
03-17 9158
需求 用OAuth2想实现一个认证服务器能够认证多种用户类型,如前台普通用户、后台管理员用户(分了不同的表了),而OAuth2默认提供的UserDetailsService只允许传入一个参数,这样就区分不了用户类型了… public interface UserDetailsService { UserDetails loadUserByUsername(String var1) thro...
Spring Security OAuth2.0 token生成与刷新机制源码阅读
Mr1ght的博客
07-09 1132
一.介绍 Spring Security Oauth2是目前市面上非常流行的实现了OAuth2.0协议的权限框架。本文会介绍其是如何获取token以及刷新token的。 二.AbstractEndPoint Spring Security OAuth2的获取token、校验token等接口均配置在EndPoint中的 AuthorizationEndpoint主要是第三方授权模式中的 获取code的流程接口 http://localhost:xxxx/auth/oauth/authorize Toke
SpringBoot - JWT实现登录刷新token
起风
09-27 2790
1. 什么是JWT Json web token (JWT) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。简答理解就是一个身份凭证,用于服务识别。 JWT本身是无状态的,这点有别于传统的session,不在服务端存储凭证。这种特性使其在分布式场景,更便于扩展使用。 2. JWT组成部分 JWT有三部分组成,头部(header),载荷(payload),是签名(signature)。 头部 头部主要声明了类型(jwt),以及使用的加密算法( HMAC SHA256) 载荷 载荷就是存放
oauth2如何refreshToken
m0_46190243的博客
09-29 3839
oauth2如何refreshToken? post请求,跟请求token一样的url地址:http://localhost:9098/oauth/token post需要的参数: grant_type :refresh_token” client_id:分配的客户端id client_secret:分配的客户端密码 refresh_token:值为上一次请求返回值中"refresh_token 实例如下所示 oauth2配置文件需要设置支持refreshToken @Override pu
Spring boot + Security + OAuth2 password模式、refresh_token模式访问/oauth/token端点
明洋的专栏
07-25 1618
1./oauth/token端点 端点过滤器TokenEndpointAuthenticationFilter 端点对应的action类TokenEndpoint 受保护的资源信息类ResourceOwnerPasswordResourceDetails 和认证服务器交互资源信息类ResourceOwnerPasswordAccessTokenProvider 2./oauth/token(...
spring security oauth2之refresh token
崔向阳@李晓的博客
07-04 7970
oAuth2.0认证服务器生成的Access_token是有有效期限制的默认为12个小时,refresh_token默认为三十天。如果Access_token提示过期,可以根据refresh_token获取新的Access_token 下面介绍如何生成refresh_token,并根据refresh_token获取新的Access_token: authorizedGrantTypes oa...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:技术黑板 设计师:CSDN官方博客 返回首页
评论

打赏作者

狮子大大

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值