我想要的效果是:只要用户在access_token有效期间内访问网站,就重置access_token的过期时间;而不是在access_token失效后,再通过refresh_token去自动的刷新凭证。
因为感觉refresh_token自动刷新逻辑上很矛盾,明明access_token已经过期了,这时再自动刷新access_token的过期时间,那么access_token的过期时间还有什么意义吗?所以在需要时由客户端主动刷新access_token比较好。欢迎大家讨论
参考了网上的文章
https://blog.csdn.net/m0_37834471/article/details/83213002
https://www.jianshu.com/p/ec562d6d0ede
我的思路是:
1,资源服务器会向认证服务器发送oauth/check_token请求来校验access_token
2,所以可以在校验access_token时,如果发现access_token即将过期,那么就重置它的过期时间。
3,重写RedisTokenStore实现该目的
这个只对redisToken有效,jwt或者内存需要重新写。
public class CustomizeRedisTokenStore extends RedisTokenStore {
public CustomizeRedisTokenStore(RedisConnectionFactory connectionFactory) {
super(connectionFactory);
}
/**
* 校验token的流程:
* 1,在CheckTokenEndpoint.checkToken()校验token时,会先通过resourceServerTokenServices.readAccessToken(value)
* 2,而resourceServerTokenServices的默认实现就是DefaultTokenServices
* 3,resourceServerTokenServices.readAccessToken是通过tokenStore.readAccessToken(accessToken)实现的
* 4,所以我们可以在此时刷新token
* 在这里刷新的优点是:减少了网络交互,无需再从客户端发送/oauth/token?grant_type=refresh_token请求来刷新token
* 同时,这种自动续签的方式不会重新生成token,如果想重新生成token可以参考DefaultTokenServices.createAccessToken()
* @param tokenValue
* @return
*/
@Override
public OAuth2AccessToken readAccessToken(String tokenValue) {
DefaultOAuth2AccessToken oAuth2AccessToken = (DefaultOAuth2AccessToken) super.readAccessToken(tokenValue);
if(oAuth2AccessToken != null){
//1,如果 accessToken 存在且将要过期(这里我写的是如果10s后过期),就重置accessToken的过期时间。
if(oAuth2AccessToken.getExpiresIn() < 10){
//重置时间 这里是60s,可以自定义在配置文件中或者通过clientid获取原定的过期时间
oAuth2AccessToken.setExpiration(new Date(System.currentTimeMillis() + (60 * 1000L)));
OAuth2Authentication oAuth2Authentication = super.readAuthentication(tokenValue);
//2,将重置的过期时间存入session
super.storeAccessToken(oAuth2AccessToken,oAuth2Authentication);
}
}
return oAuth2AccessToken;
}
}