请求时,校验accessToken访问令牌

已于 2023-11-03 10:36:27 修改
阅读量520 收藏
点赞数
分类专栏: 若依开放文档学习 文章标签: java spring spring boot
于 2023-11-03 10:32:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53639759/article/details/134197773
版权

目的

  1. 校验令牌的有效性,expire是否过期
  2. 令牌的持有者是谁

流程

考虑到前端访问后端api时,都需要进行token验证,可以通过一个过滤器来执行

image.png

项目结构:

image.png

1.新建OAuth2CheckTokenRespDTO类

对应的是图 2.2 返回值 —> 是否有效,userId等等

image.png

2.新增 checkToken方法

在OAuth2Client中新增该方法,校验访问令牌,并返回基本信息 —> 图2.1

image.png

  1. 构建请求头时,将租户id放进去,这里默认是 TENANT_ID = 1,可根据实际情况调整
  2. 将拿到的token放到请求参数中
  3. 执行请求,访问的是 “/check-token” 接口,返回的结果就是 OAuth2AccessTokenRespDTO类

对应的 “/check-token” 接口是 OAuth2OpenController 下的 checkToken :

image.png

3.新建 TokenAuthenticationFilter ,LoginUser 和 SecurityUtils

LoginUser: 登录完之后或者说token校验后会把 LoginUser 创建出来,然后放到线程的上下文里面去,后续如果需要获取userId,可以从上下文中拿到 LoginUser,便可以拿到对应的userId

image.png

新建SecurityUtils:

具体是在TokenAuthenticationFilter中

/**
 * 安全服务工具类
 *
 * @author 芋道源码
 */
public class SecurityUtils {

    public static final String AUTHORIZATION_BEARER = "Bearer";

    private SecurityUtils() {}

    /**
     * 从请求中,获得认证 Token
     *
     * @param request 请求
     * @param header 认证 Token 对应的 Header 名字
     * @return 认证 Token
     */
    public static String obtainAuthorization(HttpServletRequest request, String header) {
        String authorization = request.getHeader(header);
        if (!StringUtils.hasText(authorization)) {
            return null;
        }
        int index = authorization.indexOf(AUTHORIZATION_BEARER + " ");
        if (index == -1) { // 未找到
            return null;
        }
        return authorization.substring(index + 7).trim();
    }

    /**
     * 获得当前认证信息
     *
     * @return 认证信息
     */
    public static Authentication getAuthentication() {
        SecurityContext context = SecurityContextHolder.getContext();
        if (context == null) {
            return null;
        }
        return context.getAuthentication();
    }

    /**
     * 获取当前用户
     *
     * @return 当前用户
     */
    @Nullable
    public static LoginUser getLoginUser() {
        Authentication authentication = getAuthentication();
        if (authentication == null) {
            return null;
        }
        return authentication.getPrincipal() instanceof LoginUser ? (LoginUser) authentication.getPrincipal() : null;
    }

    /**
     * 获得当前用户的编号,从上下文中
     *
     * @return 用户编号
     */
    @Nullable
    public static Long getLoginUserId() {
        LoginUser loginUser = getLoginUser();
        return loginUser != null ? loginUser.getId() : null;
    }

    /**
     * 设置当前用户
     *
     * @param loginUser 登录用户
     * @param request 请求
     */
    public static void setLoginUser(LoginUser loginUser, HttpServletRequest request) {
        // 创建 Authentication,并设置到上下文
        Authentication authentication = buildAuthentication(loginUser, request);
        SecurityContextHolder.getContext().setAuthentication(authentication);
    }

    private static Authentication buildAuthentication(LoginUser loginUser, HttpServletRequest request) {
        // 创建 UsernamePasswordAuthenticationToken 对象
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(
                loginUser, null, Collections.emptyList());
        authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
        return authenticationToken;
    }

}

TokenAuthenticationFilter:

image.png

doFilterInternal

  1. 先从 Authorization 请求头中拿到 token
  2. 构建 LoginUser 通过buildLoginUserByToken方法,再通过调用 checkToken的方法最后获取 OAuth2CheckTokenRespDTO,并将里面的值赋给LoginUser
  3. 将LoginUser设置到上下文中
  4. 最好如果你想要获取 LoginUser或者userId,可直接调用 SecurityUtils的 getLoginUSer 和getLoginUserId 方法,即可从上下文或获取

4.将 TokenAuthenticationFilter 添加到 SecurityConfiguration 中

image.png

这样我们就完成了最后配置

qq_53639759
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈Java 三种方式实现接口校验
08-29
主要介绍了浅谈Java 三种方式实现接口校验,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
网关、开放平台如何设计appKey,appSecret,accessToken的生成和校验机制
热门推荐
小胖
12-13 1万+
总述 在开放平台或者网关中,经常会见到appKey,appSecret和accessToken,这是用来对openApi访问的一种授权机制。一般分为调用方应用和发布方API,发布了API以后,是用来调用的。如果想调用API的话,需要创建一个调用方应用,同会颁发一队appKey以及appSecret,前者是公开的,这就是你的唯一身份认证的,后者是密钥,一般不会公开,后续会用于加签,而且一般情况下也...
资源服务器验证Token的几种方式
bobozai86的博客
05-25 7701
资源服务器验证Token的几种方式 在微服务中,除了eureka,config,网关等基本的微服务还有认证服务和资源服务, 上图描述了使用了 OAuth2 的客户端请求验证token的流程,是通过资源服务向认证服务验证token。 过程就是客户端用用户名和密码到认证服务获取token,客户端拿着 token 去各个微服务请求数据接口, 当微服务接到请求后,先要拿着 token 去认证服务校验token 的合法性,如果合法,请求成功接口处理返回数据。 这种方式首先要在认证服务的认证服务配置允
oauth2.0怎么验证accesstoken是否正确或合法
pengfeifei26的专栏
12-24 5976
验证access_token流程 OAuth2AuthenticationProcessingFilter 类 Authentication authResult = authenticationManager.authenticate(authentication); ——》OAuth2AuthenticationManager authenticate 方法 OAuth2Authent...
springsecurity-oauth2令牌 access_token验证
clonetx的博客
06-21 4185
springsecurity oauth2 令牌access_token验证源码分析
Oauth2协议中如何对accessToken进行校验
飘渺Jam的博客
07-04 3798
大家好,我是飘渺。今天我们来聊聊oauth2.0的accesstoken校验逻辑。概述本文来自球友Never Sett* 的提问看完这个问题,我感觉读者对于accesstoken校验逻辑不太清楚,所以特意写了这篇文章解释一下。首先我们要知道Oauth2是一个授权协议,客户端访问某个被保护的资源之前,需要先通过认证服务器获取accesstoken,而后通过在请求头上带上a......
【微信公众号开发系列文章】二、Access token相关操作
WEB前端李志杰
02-07 2471
所有内容首发微信公众号【WEB前端李志杰】,欢迎关注、点赞并转发!
乐橙accessToken,userToken,通过http请求的获取
12-06
在IT行业中,尤其是在移动应用开发领域,访问令牌accessToken)和用户令牌(userToken)是两个重要的概念,特别是在涉及到安全性和授权验证。本篇将深入探讨乐橙平台中如何通过HTTP请求获取这两个令牌。 首先,...
AccessToken.rar
06-19
RefreshToken是为此目的而设计的,当AccessToken失效,客户端可以使用RefreshToken向授权服务器请求新的AccessToken,延长访问资源的间。 AccessToken的管理至关重要,包括存储、更新和撤销。存储,为了安全...
shopify-token:轻松获取Shopify API的OAuth 2.0访问令牌
04-27
购物令牌 该模块可帮助您检索Shopify REST API的访问令牌。 它提供了一些方便的方法,可在实现。 无需对服务器端体系结构进行任何假设,从而使该模块可以轻松适应任何设置。安装npm install --save shopify-token...
AccessToken 刷新流程图和具体示例
最新发布
07-18
1. AccessToken 刷新流程图 2. 具体示例; 3.请求和保存说明; 4.何更新; 5.队列请求类如何处理; 6.优先级如何处理; 7.异常如何处理;
授权服务器与资源服务器分离-资源服务器验证token是否合法(六)
FAIRYTAIL的博客
08-28 3970
资源服务器校验token的方式
springcloud 微服务权限校验获取 token 实战之Oauth2 解决方案(十一)
nandao158的博客
09-05 2900
传统的单体架构或者是多台服务器,一般都是采用session来进行权限校验,这种方案是有弊端的:和用户信息强关联、用户多的情况下占用内存、有csrf网络攻击的风险等。而在微服务环境下通常采用 token 认证的方式校验是否有接口调用权限,然后在下游系统设置访问白名单只允许zuul 服务器访问。理论上 zuul 服务器是不需要进行权限校验的,因为 zuul 服务器没有接口,不需要从 zuul 调用业务接口,zuul 只做简单的路由工作。下游系统在获取到 token 后,通过过滤器把 t...
Spring security Oauth2自定义check_token返回解析参数(自定义UserAuthenticationConverter)
qq_42315935的博客
11-16 1万+
Oauth2自定义check_token返回解析参数(自定义UserAuthenticationConverter) 首先来看Oauth 解析token流程 而DefaultAccessTokenConverter使用DefaultUserAuthenticationConverter来解析token信息 可以看到DefaultAccessTokenConverter可以设置 UserAuthenticationConverter,因为我们可以自定义AccessTokenConverter替换也可以自定
oauth2.0 password模式和check_token
yy1209357299的博客
03-07 1461
1.概述 OAuth(Open Authorization:开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 2.密码授权模式 客户端直接向用户获取用户名和密码,之后向认证服务器获取访问令牌 3.流程 3.1角色说明 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源
有图解有案例,我终于把OAuth2.0搞清楚了
weixin_43398645的博客
07-17 1028
Client:客户端,它本身不会存储用户快捷登录的账号和密码,只是通过资源拥有者的授权去请求资源服务器的资源,即例子中的网站A;Resource Owner:资源拥有者,通常是用户,即例子中拥有QQ/微信账号的用户;Authorization Server:认证服务器,可以提供身份认证和用户授权的服务器,即给客户端颁发token校验token;Resource Server:资源服务器,存储用户资源的服务器,即例子中的QQ/微信存储的用户信息;
springboot-oauth2-access_token验证
weixin_44401399的博客
12-02 1742
http /** * 只拦截oauth2 请求需要认证服务验证 * 类似于 http://localhost:8080/oauth2/xxx?access_token=code */ .antMatcher("/oauth2/**") .authorizeRequests() ...
关于匿名令牌,刷新令牌的全局拦截处理方法
大乌鸦
08-05 473
为了让出现401的接口自动重新进行请求,思路:就是拿着报错的接口的url以及内部的参数,进行重新请求。 1、拿到报错的接口链接和参数 2、把它们存到一个数组里面 3、然后按着数组里面的参数进行一一请求报错的接口 import axios from "axios"; import Cookies from "cookies-js"; let isAlreadyFetchingAccess...
oauth2 校验accessToken
04-22
对于OAuth2校验AccessToken,通常需要进行以下步骤: 1. 在API请求的头部(header)中添加Authorization信息,格式为Bearer accessToken。 2. 服务端接收请求后,从Authorization头部中获取accessToken。 3. 对accessToken进行解析和验证,通常需要使用JWT(JSON Web Token)。 4. 验证通过后,服务端返回请求的数据。 需要注意的是,accessToken具有效性,通常需要设置过期间。在过期间内,可以使用accessToken访问API;过期后,需要重新获取accessToken才能继续访问API。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值