Oauth2.0实现token刷新功能

已于 2022-08-28 19:26:25 修改
阅读量1w 收藏 15
点赞数 3
分类专栏: java后台功能模块 文章标签: java spring 网关 oauth2
于 2021-07-13 13:25:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41157896/article/details/118697419
版权

扣扣技术分享交流群:1125844267

1、Oauth2.0简介

Oauth2.0是一个授权协议,提供了一种解决用户资源共享问题的思路,它不是一种实现。对于java来说,我们可以利用Spring Security OAuth2来实现。

Oauth2.0实现的最基本的思路:
这是Oauth2.0实现的最基本的思路
上图的名词解释:
上图的名词解释
几种授权模式:
几种授权模式
授权码模式基本思路:
授权码模式基本思路
微服务架构下的时序图:
微服务架构下的时序图

2、刷新token

(1)基本思路
首先我们要明白,在授权码模式下,在网关请求获取access token的时候,接口会返回一个access token和一个refresh token,我会将这两个值都保存到前端cookies中,每次请求都携带这两个值,网关在验证access token过期后,立马利用refresh token请求接口换去一个新的access token,这个时候接口同样返回两个值,一个access token和refresh token,但是需要注意的是,如果不加特殊配置,refresh token的过期时间的固定不变的。所以,也可能导致用户在使用中突然退出系统,所以,我觉得在刷新access token的时候,同样刷新refresh token也是必要的。
(2)代码实现
在这里插入图片描述
Oauth授权服务配置:

  • 1中的配置就是为了在刷新access token的时候能够将refresh token的过期时间也刷新一下;
  • 3中的配置是内容增强器的配置,在生成的jwt(access token)中添加自定义属性,具体内容增强器的实现自行百度;
  • 2中的配置之前是没有的,在实现刷新token时一直报错,在追踪源码,看了别人的配置后加上这个验证用户名密码的实现就可以了

那么最重要的一个点就是在网关这儿。我们要想实现在用户无感的情况下更新token,那么就不能影响本次的请求的情况下去刷新token。既然每次请求都会走网关,那么每次服务返回的结果肯定也会走网关。那么我们结合Spring Cloud Gateway官网了解一下整个请求的过程。
在这里插入图片描述
我们可以清晰的看到,请求和返回各自有各自的一条路线,并且都会经过一堆过滤器,那么我们就可以在本次请求刷新token成功后,继续本次请求到服务,然后在它返回的过程中将刷新的access token和refresh token加入到返回头中给前端保存
全局过滤器中的实现:
在这里插入图片描述
**注意:**有时候可能配置多了会报一些莫名其妙的错误,我们一定要注意过滤器的顺序问题,可以适当的改变一下顺序可能就没问题了
在这里插入图片描述
前端的部分这里就不再赘述,加拦截器,每个返回的结果检查有没有access token和refresh token,有的话就更新。

其实,在实现之前也百度了很多,但是没有找到刷新token的实现,我这个只是一种思路,如果大家有更好的实现方式,大家可以评论交流!

Happy-Sir
关注
专栏目录
Spring oauth2.0 刷新token后设置原token5分钟内继续可用
06-01 3909
默认情况下刷新token后原token会立马不可用。但是在某些情况下我们需要刷新token后原token在一定时间内继续可用(例如微信的刷新token)。 通过查看DefaultTokenServices中的刷新token方法refreshAccessToken可以看到生成新的token后会调用removeAccessTokenUsingRefreshToken方法,此方法默认会删除存储的相关token信息 private void removeAccessTokenUsingRefreshToken
OAuth2.0与前端无感知token刷新实现
Arui_0的博客
09-26 1697
前言 OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛的应用。Facebook、Twitter和Google等各种在线服务都提供了基于OAuth规范的认证机制。 OAuth一般用于面向第三方大范围公开的API中的认证工作。换言之,假设带有用户注册功能的在线服务A(例如腾讯qq)对外公开了API,在线服务B(例如百度网盘)便可使用这些在线服务A的API提供的各种功能。这种情况下,当某个已在qq里注册的用户需要百度网盘的在线服务时,网盘的在线服务就会希望访问qq来使用该用户
Spring OAuth2客户端身份验证源码解析
最新发布
onePlus5T的博客
08-22 959
本文介绍在spring oauth2.0客户端向授权服务发起token请求时,源码是如何向请求中添加客户端认证参数,来交由授权服务进行认证的
OAuth2.0的refresh token
热门推荐
wenlei_zhouwl的专栏
02-13 4万+
转载自http://www.html-js.com/?p=1297 最近看人人网的OAuth认证,发现他是OAuth2.0,之前一直看的是新浪的OAuth,是OAuth1.0. 二者还是有很多不同的,主要的不同点在access token的获取方式. OAuth1.0的access token获取过来之后,就可以存到数据库里,然后长期使用,因为它有效期很长,通常有效期
Oauth2.0实现token刷新功能(二)
康小虎的博客
04-22 4477
文章目录前言直接上代码总结 前言 之前写过一篇“Oauth2.0实现token刷新功能”,发现大家阅读的还是特别多,那个是基于Spring Cloud实现刷新功能,现在将它改为基于普通过滤器实现token刷新。 直接上代码 基本思路还是跟之前一样,过滤器拦截请求验证tokentoken过期后请求单点登录服务器换取新的access_token和refresh_token,将两个token放到过滤器返回体的头部。从而不影响本次请求,同时还能在本次请求的过程中做到无痕刷新token。 @Override
OAuth2.0 - 刷新令牌
A_991128a的博客
01-12 1892
刷新令牌是用于获取访问令牌的凭据。刷新令牌由授权服务器颁发给客户端,用于在当前访问令牌失效或过期时获取新的访问令牌,或者获取具有相同或更窄范围的附加访问令牌(访问令牌可能具有更短的范围)生命周期和少于资源所有者授权的权限)。颁发刷新令牌是可选的,由授权服务器决定。因为刷新令牌通常是用于请求额外的访问令牌的持久凭证,刷新令牌绑定到被它被颁发给的客户端。如果通过客户端凭证模式,建议选定其他的身份验证。的过期时间保存下来,每次调用平台方的业务。进行一下时间判断,如果过期则执行刷新。如果过期就只能让用户重新授权。
SpringBootSecurity学习(20)前后端分离版之OAuth2.0刷新token
Blues的专栏
10-11 2459
刷新token 前面的例子和配置都是从头开始申请授权码和令牌,现在来看一下如何根据获取令牌时,回参中的 refresh_token刷新令牌。现在在项目中配置的是内存模式的默认用户名密码,第一步先改成数据库查询的方式,具体过程参考前面的文章即可,来看security配置类: 然后修改授权服务配置类,在 endpoints 中配置userDetailsService: 修改成数据库方式也是为了...
完整Oauth 2.0实现实例
03-06
在本文中,我们将深入探讨 OAuth 2.0 的核心概念,并结合 Java 实现来理解其工作原理。 OAuth 2.0 主要分为四个角色:资源所有者(Resource Owner)、客户端(Client)、授权服务器(Authorization Server)和资源...
OAuth2.0代码模拟实现
12-26
通过上述分析,我们可以看出"OAuth2.0代码模拟实现"项目是一个涉及用户授权、令牌管理和安全性的实践项目,涵盖了OAuth2.0的整个生命周期。具体实现细节将涉及到对Spring Security OAuth2的深入理解和配置,以及如何...
Oauth2.0:Springsecurity的Oauth2.0实现样例
05-14
这个样例项目为开发者提供了一个完整的OAuth2.0实现框架,有助于理解和实践Spring Security的OAuth2.0特性。通过研究源代码,可以深入学习如何在实际项目中部署和使用OAuth2.0授权机制,提升应用程序的安全性和可...
Php oauth2.0 原理,OAuth 2.0 协议原理与实现TOKEN 生成算法
weixin_40003451的博客
03-19 536
OAuth2.0协议定义了授权详细流程,并最终以token的形式作为用户授权的凭证下发给客户端,客户端后续可以带着token去请求资源服务器,获取token权限范围内的用户资源。对于token的描述,OAuth2.0协议只是一笔带过的说它是一个字符串,用于表示特定的权限、生命周期等,但是却没有明确阐述token的生成策略,以及如何去验证一个token。RFC6749对于access token的描...
SpringBoot OAuth2.0 refresh_token刷新令牌)
狮子大大
03-26 4049
SpringBoot OAuth2.0 刷新令牌 通常在 access_token 时间过期后,需要去获取新的 token 才能继续访问接口 在 使用 SpringSecurity + OAuth2.0, 可以采用 refresh_token 模式重新申请 access_token 修改 MooseAuthorizationServerConfiguration 文件 /** * Authorization Server endpoints. * * @throws Exception
OAuth2.0 知多少
weixin_33882443的博客
03-17 109
1. 引言 周末逛简书,看了一篇写的极好的文章,点击大红心点赞,就直接给我跳转到登录界面了,原来点赞是需要登录的。 可是没有我并没有简书账号,一直使用的QQ的集成登录。下面有一排社交登录按钮,我们可以用第三方社交账号登陆即可。点击QQ图标,就给我跳转到了QQ登录授权页面,如下图: 从图片上我们可以看到主要包括两个部分,一个是左边的用户登录,一个是右边告知简书将获取哪些权限。输入QQ账号和密码,...
Spring Security OAuth2.0(二)-----简化模式/密码模式/客户端模式/刷新 token
qq_42264638的博客
04-21 1468
新增“implicit” 和修改回调地址为本次地址。
Spring Security OAuth2实现多用户类型认证与多用户类型token刷新(新)
weixin_42552016的博客
05-13 731
此方法基于覆盖源码路径实现,以最少的配置完成Spring Security OAuth2实现多用户类型认证与多用户类型token刷新
分布式认证中心实现方案:OAuth2.0 + Redis,refresh_token无感知刷新
qq_52030824的博客
03-05 1280
分布式认证中心实现方案:OAuth2.0 + Redis,refresh_token无感知刷新
OAuth2.0刷新Token,正在操作时,Token不过期
般若
06-17 5863
文件名称 版本号 作者 qq 版本 OAuth2.0刷新Token v1.0.0 学生宫布 8416837 SpringBoot 2.2.6SpringCloud Hoxton.SR4 文章目录需求假设你已经搭建好OAuth2.0服务器解决办法1)定时器2)请求拦截式,每次请求权限接口都判断是否可以刷新Token了 需求 保证页面不会在正在操作中却弹出Token过期,这样体验不好。除非好久(设定的阈值)没有操作页面了,显示已过期才合理。 假设你已经搭建好OAuth2.0服务器 登录...
Spring Security OAuth2实现多用户类型认证、刷新Token
susu1083018911的博客
03-07 3871
loadUserByUsername携带多个参数
oauth2.0授权协议中刷新令牌refresh token的工作原理及生命周期分析
u013905744的专栏
12-16 1万+
在学习oauth2.0协议的时候,对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌,以及刷新令牌是如何工作的,技术细节是啥?比如通过refresh token可以让access token永久不过期吗? 下面就针对这两个问题进行分析。 为什么需要刷新令牌 如果access token超时时间很长,比如14条,由于第三方软件获取受保护资源都要带着access token,这样access token的攻击面就比较大。 如果access token超时时间很短,比如1个小时,那其超时之后
oauth2.0配置token
08-26
OAuth2.0配置token的步骤可以通过以下方式实现。首先,你可以使用Spring Security OAuth2来实现。在Java中,可以通过引入Spring Security OAuth2的依赖来使用。然后,需要在你的应用程序配置文件中添加相关的OAuth2.0配置,包括授权服务器的URL、客户端ID和客户端秘钥等信息。通过配置这些信息,你的应用程序可以与授权服务器进行通信,并获取访问令牌。 在使用HttpClient客户端调用Web API接口时,如果API使用OAuth2.0权限控制,你需要在调用接口之前获取访问令牌进行认证。你可以通过向授权服务器发送认证请求来获取访问令牌,这通常涉及到向授权服务器提供你的客户端ID、客户端秘钥、授权类型等信息。一旦获得了访问令牌,你可以将其包含在HTTP请求的头部或参数中,以便API能够验证你的请求并授予访问权限。 另外,在实现OAuth2.0token刷新功能方面,你可以通过编写过滤器来实现。在过滤器中,你可以检查访问令牌的过期时间,并在过期前进行刷新刷新访问令牌的过程,通常涉及向授权服务器发送刷新请求,并提供刷新令牌以获取新的访问令牌。一旦获得了新的访问令牌,你可以更新原有的访问令牌并继续进行API调用。 需要注意的是,具体的OAuth2.0配置和实现方式可能因不同的框架或库而有所差异。因此,你需要根据你所使用的具体工具和技术来查阅相关文档并进行相应的配置和实现。希望以上信息能对你有所帮助。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Oauth2.0实现token刷新功能](https://blog.csdn.net/qq_41157896/article/details/118697419)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制](https://download.csdn.net/download/gc101312/82935655)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Oauth2.0实现token刷新功能(二)](https://blog.csdn.net/qq_41157896/article/details/124351822)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Happy-Sir

有收获请打赏,哈哈

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值