个人感觉啊Spring Security OAuth2功能很强大、但是如果要做改动的话就需要好好研究研究了、OAuth2有好几种授权模式里、我最常用的也就是password模式、授权码模式略微复杂、没咋研究过、而且感觉这个框架只使用网站的时候使用授权码方式对第三方系统进行授权是最简单的、要不感觉就需要深入研究了、最主要的还是根据需求来做决定、一般用户这块无非就是以下几种关系
- 同一用户(任何端)可无限制在线
- 同一用户只可同时在线一个或多个
- 同一用户不同端同时可在线一个或多个(例如:app、网站等等)
在OAuth2中有一个很重要的接口就是TokenStore接口、该接口就是为了生成token的、当然也可以保存token、移除token等等、其内有很多方法、有兴趣可以去看一看、而RedisTokenStore和JwtTokenStore就是该接口的实现类
其中还有个重要的接口AuthorizationServerTokenServices、该接口默认实现类是DefaultTokenServices、该类在用户进行授权的时候会执行createAccessToken方法
@Transactional
public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {
//调用tokenStore的getAccessToken方法、在使用Jwt时、JwtTokenStore的该方法返回为null
//RedisTokenStore的话会去查询当前是否存在该用户的Token、如果不存在则返回null
OAuth2AccessToken existingAccessToken = this.tokenStore.getAccessToken(authentication);
OAuth2RefreshToken refreshToken = null;
if (existingAccessToken != null) {
//以下这个if块中的代码就是为啥在使用Redis的时候、如果token未过期不会再次生成的原因
if (!existingAccessToken.isExpired()) {
this.tokenStore.storeAccessToken(existingAccessToken, authentication);
return existingAccessToken;
}
//如果上面那句没被return、这里看看刷新token是否为null、不为null的话就把刷新token移除
if (existingAccessToken.getRefreshToken() != null) {
refreshToken = existingAccessToken.getRefreshToken();
this.tokenStore.removeRefreshToken(refreshToken);
}
//移除token
this.tokenStore.removeAccessToken(existingAccessToken);
}
if (refreshToken == null) {//这个是获取刷新token的代码
refreshToken = this.createRefreshToken(authentication);
} else if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
ExpiringOAuth2RefreshToken expiring = (ExpiringOAuth2RefreshToken)refreshToken;
if (System.currentTimeMillis() > expiring.getExpiration().getTime()) {
refreshToken = this.createRefreshToken(authentication);
}
}
//这里是生成existingAccessToken 为空或者最上面那个if块并没有被return的时候执行的
//创建token代码、这里需要说一下、createAccessToken在Jwt的时候需要额外关注一下、在下面介绍该方法
OAuth2AccessToken accessToken = this.createAccessToken(authentication, refreshToken);
this.tokenStore.storeAccessToken(accessToken, authentication);//储存token
refreshToken = accessToken.getRefreshToken();
if (refreshToken != null) {
this.tokenStore.storeRefreshToken(refreshToken, authentication);//储存刷新token的
}
return accessToken;
}
接下来解析DefaultTokenServices的createAccessToken(OAuth2Authentication, OAuth2RefreshToken)方法、该方法在使用Jwt生成token时很重要、最重要的在最后一行、大白话就是如果accessTokenEnhancer不为null那么就调用accessTokenEnhancer 来生成token否者就返回当前DefaultOAuth2AccessToken类生成的token
private OAuth2AccessToken createAccessToken(OAuth2Authentication authentication, OAuth2RefreshToken refreshToken) {
DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(UUID.randomUUID().toString());
int validitySeconds = this.getAccessTokenValiditySeconds(authentication.getOAuth2Request());
if (validitySeconds > 0) {
token.setExpiration(new Date(System.currentTimeMillis() + (long)validitySeconds * 1000L));
}
token.setRefreshToken(refreshToken);
token.setScope(authentication.getOAuth2Request().getScope());
//TokenEnhancer接口
return (OAuth2AccessToken)(this.accessTokenEnhancer != null ? this.accessTokenEnhancer.enhance(token, authentication) : token);
}
而JwtTokenStore类需要一个JwtAccessTokenConverter类来作为构造函数的参数、主要用于解析和验证Jwt生成的token的、DefaultTokenServices类也需要、所以这里就需要分别配置TokenStore和TokenEnhancer、两个必须都配置
总结来说RedisTokenStore只要该token不过期、永远使用的都是一个token、不知道有没有别的方法可以不这样、我找了好多都没找到、而JwtTokenStore则是每次都生成不同的token、感觉可以使用RedisTokenStore来储存token、然后自定义TokenEnhancer来生成token、我也没试过不知道能不能行
121
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
