Spring Security Oauth2:RedisTokenStore修改默认序列化方式,由JDK改为JSON

最新推荐文章于 2023-01-14 13:56:10 发布
最新推荐文章于 2023-01-14 13:56:10 发布
阅读量7.5k 收藏 13
点赞数 5
分类专栏: Spring Security Java 文章标签: java Spring Security Oauth2 RedisTokenStore Json序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lki_suidongdong/article/details/105945477
版权

RedisTokenStore:Json序列化
一. 前言
Spring Security Oauth2 存储Token的方式有多种, 比如JWT、Jdbc(数据库)、Redis等,但是对于一个大型的分布式服务应用,Redis存储方式应该是最佳选择。

二. 问题
我们使用默认的Redis存储方式,序列化到到Redis的数据是采用JDK序列化策略写入到redis的。这样对于程序的功能毫无影响,但是对于开发者却很不直观,出现问题,也不容易排查,我们能不能把它们序列化成JSON格式呢?

默认序列化方式
Spring Security Oauth2 Redis序列化Token相关的数据是采用JdkSerializationStrategy,具体的代码如下:

//org.springframework.security.oauth2.provider.token.store.redis.RedisTokenStore

public class RedisTokenStore implements TokenStore {

    private static final String ACCESS = "access:";
    private static final String AUTH_TO_ACCESS = "auth_to_access:";
    private static final String AUTH = "auth:";
    private static final String REFRESH_AUTH = "refresh_auth:";
    private static final String ACCESS_TO_REFRESH = "access_to_refresh:";
    private static final String REFRESH = "refresh:";
    private static final String REFRESH_TO_ACCESS = "refresh_to_access:";
    private static final String CLIENT_ID_TO_ACCESS = "client_id_to_access:";
    private static final String UNAME_TO_ACCESS = "uname_to_access:";

    private static final boolean springDataRedis_2_0 = ClassUtils.isPresent(
            "org.springframework.data.redis.connection.RedisStandaloneConfiguration",
            RedisTokenStore.class.getClassLoader());

    private final RedisConnectionFactory connectionFactory;
    private AuthenticationKeyGenerator authenticationKeyGenerator = new DefaultAuthenticationKeyGenerator();
    //Jdk序列方式
    private RedisTokenStoreSerializationStrategy serializationStrategy = new JdkSerializationStrategy();
    ......省略无关代码


Fastjson序列化策略
使用Fastjson实现了一个序列化策略,并注入到Spring Bean容器中,代码如下:

FastjsonRedisTokenStoreSerializationStrategy 工具类,自定义反序列化设计器和反序列化时需要添加的白名单。

/**
 * @author suidd
 * @name FastjsonRedisTokenStoreSerializationStrategy
 * @description fastjson redis存储json格式序列化反序列化工具类
 * @date 2020/4/15 9:36
 * Version 1.0
 **/
public class FastjsonRedisTokenStoreSerializationStrategy implements RedisTokenStoreSerializationStrategy {

    private static ParserConfig config = new ParserConfig();

    static {
        init();
    }

    protected static void init() {
        //自定义oauth2序列化:DefaultOAuth2RefreshToken 没有setValue方法,会导致JSON序列化为null
        config.setAutoTypeSupport(true);//开启AutoType
        //自定义DefaultOauth2RefreshTokenSerializer反序列化
        config.putDeserializer(DefaultOAuth2RefreshToken.class, new DefaultOauth2RefreshTokenSerializer());
        //自定义OAuth2Authentication反序列化
        config.putDeserializer(OAuth2Authentication.class, new OAuth2AuthenticationSerializer());
        //添加autotype白名单
        config.addAccept("org.springframework.security.oauth2.provider.");
        config.addAccept("org.springframework.security.oauth2.provider.client");
        TypeUtils.addMapping("org.springframework.security.oauth2.provider.OAuth2Authentication",
                OAuth2Authentication.class);
        TypeUtils.addMapping("org.springframework.security.oauth2.provider.client.BaseClientDetails",
                BaseClientDetails.class);

        config.addAccept("org.springframework.security.oauth2.common.");
        TypeUtils.addMapping("org.springframework.security.oauth2.common.DefaultOAuth2AccessToken", DefaultOAuth2AccessToken.class);
        TypeUtils.addMapping("org.springframework.security.oauth2.common.DefaultExpiringOAuth2RefreshToken", DefaultExpiringOAuth2RefreshToken.class);

        config.addAccept("cn.com.huak.securityoauth.entity");
        TypeUtils.addMapping("cn.com.huak.securityoauth.entity.UserDetailsEntity", UserDetailsEntity.class);

        config.addAccept("org.springframework.security.web.authentication.preauth");
        TypeUtils.addMapping("org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationToken", PreAuthenticatedAuthenticationToken.class);
    }

    @Override
    public <T> T deserialize(byte[] bytes, Class<T> aClass) {
        Preconditions.checkArgument(aClass != null,
                "clazz can't be null");
        if (bytes == null || bytes.length == 0) {
            return null;
        }

        try {
            return JSON.parseObject(new String(bytes, IOUtils.UTF8), aClass, config);
        } catch (Exception ex) {
            throw new SerializationException("Could not serialize: " + ex.getMessage(), ex);
        }
    }

    @Override
    public String deserializeString(byte[] bytes) {
        if (bytes == null || bytes.length == 0) {
            return null;
        }
        return new String(bytes, IOUtils.UTF8);
    }

    @Override
    public byte[] serialize(Object o) {
        if (o == null) {
            return new byte[0];
        }

        try {
            return JSON.toJSONBytes(o, SerializerFeature.WriteClassName,
                    SerializerFeature.DisableCircularReferenceDetect);
        } catch (Exception ex) {
            throw new SerializationException("Could not serialize: " + ex.getMessage(), ex);
        }
    }

    @Override
    public byte[] serialize(String data) {
        if (data == null || data.length() == 0) {
            return new byte[0];
        }

        return data.getBytes(Charset.forName("utf-8"));
    }
}

 自定义UserDetails实体,继承自org.springframework.security.core.userdetails下的UserDetails

/**
 * @author suidd
 * @name UserDetailsEntity
 * @description 用户详情实体类
 * @date 2020/4/7 17:39
 * Version 1.0
 **/
@Data
public class UserDetailsEntity implements UserDetails {
    private static final long serialVersionUID = 8081363717997957932L;
    /**
     * 帐号
     */
    private String id;
    /**
     * 用户名
     */
    private String username;
    /**
     * 密码
     */
    private String password;
    /**
     * 组织ID
     */
    private String orgId;
    /**
     * 组织名称
     */
    private String orgName;
    /**
     * 用户角色权限
     */
    private Collection<? extends GrantedAuthority> authorities;

    /**
     * 帐号是否过期
     */
    private boolean accountNonExpired = true;
    /**
     * 认证是否过期
     */
    private boolean credentialsNonExpired = true;
    /**
     * 帐号是否锁定
     */
    private boolean accountNonLocked = true;
    /**
     * 帐号是否删除
     */
    private boolean enabled = true;

    /**
     * 构造
     *
     * @param id
     * @param username
     * @param password
     * @param orgId
     * @param orgName
     * @param authorities
     */
    public UserDetailsEntity(String id, String username, String password, String orgId, String orgName, Collection<? extends GrantedAuthority> authorities) {
        this.id = id;
        this.username = username;
        this.password = password;
        this.orgId = orgId;
        this.orgName = orgName;
        this.authorities = authorities;
    }

    /**
     * @param
     * @return change notes
     * @author suidd
     * @description //获取用户角色权限
     * @date 2020/4/10 13:55
     **/
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    /**
     * @param
     * @return change notes
     * @author suidd
     * @description //获取密码
     * @date 2020/4/10 13:56
     **/
    @Override
    public String getPassword() {
        return password;
    }

    /**
     * @param
     * @return change notes
     * @author suidd
     * @description //获取用户名
     * @date 2020/4/10 13:56
     **/
    @Override
    public String getUsername() {
        return username;
    }

    /**
     * @param
     * @return change notes
     * @author suidd
     * @description //帐号是否过期
     * @date 2020/4/10 13:52
     **/
    @Override
    public boolean isAccountNonExpired() {
        return this.accountNonExpired;
    }

    /**
     * @param
     * @return change notes
     * @author suidd
     * @description //帐号是否被锁定
     * @date 2020/4/10 13:53
     **/
    @Override
    public boolean isAccountNonLocked() {
        return this.accountNonLocked;
    }

    /**
     * @param
     * @return change notes
     * @author suidd
     * @description //认证是否过期
     * @date 2020/4/10 13:53
     **/
    @Override
    public boolean isCredentialsNonExpired() {
        return this.credentialsNonExpired;
    }

    /**
     * @param
     * @return change notes
     * @author suidd
     * @description //帐号是否被删除
     * @date 2020/4/10 13:53
     **/
    @Override
    public boolean isEnabled() {
        return this.enabled;
    }
}

自定义默认的刷新token序列化工具类 

/**
 * @author suidd
 * @name DefaultOauth2RefreshTokenSerializer
 * @description 自定义默认的刷新token序列化工具类
 * @date 2020/4/15 9:45
 * Version 1.0
 **/
public class DefaultOauth2RefreshTokenSerializer implements ObjectDeserializer {

    @Override
    public <T> T deserialze(DefaultJSONParser parser, Type type, Object fieldName) {
        if (type == DefaultOAuth2RefreshToken.class) {
            JSONObject jsonObject = parser.parseObject();
            String tokenId = jsonObject.getString("value");
            DefaultOAuth2RefreshToken refreshToken = new DefaultOAuth2RefreshToken(tokenId);
            return (T) refreshToken;
        }
        return null;
    }

    @Override
    public int getFastMatchToken() {
        return 0;
    }
}

自定义OAuth2认证序列化工具类 ,反序列化时,需要特别注意deserialze方法中我写的注释。

//判断json节点userAuthentication的类型,根据类型动态取值
//UsernamePasswordAuthenticationToken 密码模式/授权码模式下,redis存储的json串类型为UsernamePasswordAuthenticationToken
//PreAuthenticatedAuthenticationToken 刷新token模式下,redis存储的json串类型为PreAuthenticatedAuthenticationToken


/**
 * @author suidd
 * @name OAuth2AuthenticationSerializer
 * @description 自定义OAuth2认证序列化工具类
 * @date 2020/4/15 9:43
 * Version 1.0
 **/
public class OAuth2AuthenticationSerializer implements ObjectDeserializer {

    @Override
    public <T> T deserialze(DefaultJSONParser parser, Type type, Object fieldName) {
        if (type == OAuth2Authentication.class) {
            try {
                Object o = parse(parser);
                if (o == null) {
                    return null;
                } else if (o instanceof OAuth2Authentication) {
                    return (T) o;
                }

                JSONObject jsonObject = (JSONObject) o;
                OAuth2Request request = parseOAuth2Request(jsonObject);

                //判断json节点userAuthentication的类型,根据类型动态取值
                //UsernamePasswordAuthenticationToken 密码模式/授权码模式下,存储类型为UsernamePasswordAuthenticationToken
                //PreAuthenticatedAuthenticationToken 刷新token模式下,存储类型为PreAuthenticatedAuthenticationToken
                Object autoType = jsonObject.get("userAuthentication");
                return (T) new OAuth2Authentication(request, jsonObject.getObject("userAuthentication", (Type) autoType.getClass()));
            } catch (Exception e) {
                e.printStackTrace();
            }
            return null;
        }
        return null;
    }

    private OAuth2Request parseOAuth2Request(JSONObject jsonObject) {
        JSONObject json = jsonObject.getObject("oAuth2Request", JSONObject.class);
        Map<String, String> requestParameters = json.getObject("requestParameters", Map.class);
        String clientId = json.getString("clientId");
        String grantType = json.getString("grantType");
        String redirectUri = json.getString("redirectUri");
        Boolean approved = json.getBoolean("approved");
        Set<String> responseTypes = json
                .getObject("responseTypes", new TypeReference<HashSet<String>>() {
                });
        Set<String> scope = json.getObject("scope", new TypeReference<HashSet<String>>() {
        });
        Set<String> authorities = json.getObject("authorities", new TypeReference<HashSet<String>>() {
        });
        Set<GrantedAuthority> grantedAuthorities = new HashSet<>(0);
        if (authorities != null && !authorities.isEmpty()) {
            authorities.forEach(s -> grantedAuthorities.add(new SimpleGrantedAuthority(s)));
        }
        Set<String> resourceIds = json
                .getObject("resourceIds", new TypeReference<HashSet<String>>() {
                });
        Map<String, Serializable> extensions = json
                .getObject("extensions", new TypeReference<HashMap<String, Serializable>>() {
                });

        OAuth2Request request = new OAuth2Request(requestParameters, clientId,
                grantedAuthorities, approved, scope, resourceIds, redirectUri, responseTypes, extensions);
        TokenRequest tokenRequest = new TokenRequest(requestParameters, clientId, scope, grantType);
        request.refresh(tokenRequest);
        return request;
    }


    @Override
    public int getFastMatchToken() {
        return 0;
    }

    private Object parse(DefaultJSONParser parse) {
        JSONObject object = new JSONObject(parse.lexer.isEnabled(Feature.OrderedField));
        Object parsedObject = parse.parseObject((Map) object);
        if (parsedObject instanceof JSONObject) {
            return (JSONObject) parsedObject;
        } else if (parsedObject instanceof OAuth2Authentication) {
            return parsedObject;
        } else {
            return parsedObject == null ? null : new JSONObject((Map) parsedObject);
        }
    }
}

在认证核心配置类中,修改token存储方式为redis

     @Autowired
    private RedisConnectionFactory redisConnectionFactory;

    /**
     * redis存储token
     * @return
     */
    @Bean
    public RedisTokenStore redisTokenStore(){
        RedisTokenStore store = new RedisTokenStore(redisConnectionFactory);
        //自定义json进行序列化和反序列化
        store.setSerializationStrategy(new FastjsonRedisTokenStoreSerializationStrategy());

        return store;
    }


至此,RedisTokenStore存储在redis为json格式就大功告成了,如果反序列化时报错,那请参照错误信息,进行修改。

我这里只列举因为未添加白名单导致报错的错误代码:

com.alibaba.fastjson.JSONException: autoType is not support. org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationToken
	at com.alibaba.fastjson.parser.ParserConfig.checkAutoType(ParserConfig.java:1072)
	at com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:327)
	at com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:569)
	at com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:1129)
	at cn.com.huak.securityoauth.common.OAuth2AuthenticationSerializer.parse(OAuth2AuthenticationSerializer.java:95)
	at cn.com.huak.securityoauth.common.OAuth2AuthenticationSerializer.deserialze(OAuth2AuthenticationSerializer.java:35)
......

 

陌隋
关注
  • 5
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
spring security + oauth2 使用RedisTokenStorejson格式存储
qq_31683775的博客
08-05 1171
然后访问,到json权限信息转成实体类的时候,就有问题了,各种各样oauth2 中的数据实体类,没有构造方法,无法创建对象,先转成map在手动新建对象同样不行,,保存没问题,取出来的时候就有问题了,把这三个文件复制到资源服务器,让资源服务器也用MyRedisTokenStore方式读取权限信息.但是需要实例化的对象类路径,这么长一串,没有构造方法,无法新建对象.4.配置使用redis类型的 TokenStore。5.完成认证模块的编写后,测试登录。redis中的配置已经读到了。结束
Spring Security Oauth2:RedisTokenStore(二)之JSON序列化
既无风雨也无晴
02-26 3万+
RedisTokenStore:Json序列化 一. 前言 Spring Security Oauth2 存储Token方式有多种, 比如JWT、Jdbc(数据库)、Redis等,但是对于一个大型的分布式服务应用,Redis存储方式应该是最佳选择。 二. 问题 我们使用默认Redis存储方式序列化到到Redis的数据如如下所示的的结果:图1这样数据,十分不直观,我们能不能把它们序列化成J...
Spring Security Oauth2 返回非标准数据结构 OAuth2AccessToken 序列化问题
yuelangyc的专栏
03-06 4867
问题描述: 在Spring框架中,自定义配置了FastJsonHttpMessageConverter ,覆盖掉 MappingJackson2HttpMessageConverter,导致返回时 序列化出现问题。 预期: { "access_token": "f7d77b3f-61f1-4c1e-975e-c6b3bb5f244d", "token_type": "b...
Spring Security OAuth2 缓存使用jackson序列化的处理
最新发布
阿道夫的博客
01-14 1020
不知道这个问题有没有人遇到或者处理过,Spring Security OAuth2的tokenStoreredis缓存默认序列化策略是jdk序列化,这意味着redis里面的值是无法阅读的状态,而且这个缓存也无法被其他语言的web应用所使用,于是就打算使用最常见的json序列化策略来存储。这个Serializer的代码在刚才的报错中并没有执行,也就是说在序列化之前就报错了,这是为什么呢?限于篇幅,不再过多的讲述其他问题,需要注意的是,mapper还是需要注册两个module,是Spring源码中提供的。
【MS】spring security oauth2之RedisTokenStore添加限流参数保存
唐伯虎点纹香的博客
08-01 3253
spring security oauth2之RedisTokenStore添加限流参数保存 前言 在之前写的《网关 springcloud-gateway 基于Token限流》中,从网关中获取请求的token ,根据tokenredis 中获取限流参数,那么这个参数是在哪里保存的呢? 没错,在用户认证的时候,就把限流参数和token一起保存到redis了 直接上代码 1、创建CustomRe...
SpringSecurity学习笔记之 入门 十 一(oauth2.0整合 redis保存token
m0_49194578的博客
08-13 1481
之前我们的token都是保存在内存中。这是不合理的。【反正教程是这么写的】,可能是他的token有别于jwt的token吧。因为每次重启服务器就失效了嘛。。那就应该是临时token了。。 这里我们就把他的资源访问token进行缓存redis maven: redis依赖: spring-boot-starter-data-redis 对象池依赖: commons-pool2 原因: 放在内存中token有可能丢失,放关系数据库,效率低,所以采用redis; 配置: 在刚才配置密码模式的地方,进行配置 在授
spring-security-oauth:刚刚宣布-“学习Spring Security OAuth”:
02-19
我刚刚宣布了一门新课程,专用于探索Spring Security 5中的新OAuth2堆栈-了解Spring Security OAuth: : 建立项目 mvn clean install 项目/模块 该项目包含许多模块,以下是每个模块包含的内容的简要说明: ...
springboot-security-oauth2:SpringBoot集成Spring SecurityOAuth2实现authorization code授权码模式
05-10
springboot-security-oauth2此SpringBoot项目集成Spring SecurityOAuth2实现资源访问授权认证。支持client credentials、password、authorization code认证模式。项目默认最为复杂的authorization code授权码认证...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
Maven坐标:org.springframework.security.oauth:spring-security-oauth2:2.3.5.RELEASE; 标签:springsecurityspringframework、oauth2、oauth、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用...
Spring Security OAuth2 实现登录互踢的示例代码
08-19
Spring Security OAuth2 实现登录互踢的示例代码 Spring Security OAuth2 是一个基于 OAuth2 协议的身份验证框架,提供了丰富的身份验证机制和授权机制。本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
Spring Security OAuth2是基于Spring Cloud/Spring Boot环境下使用OAuth2.0的解决方案,为开发者提供了全套的组件来支持OAuth2.0认证。然而,在开发过程中,我们会发现由于Spring Security OAuth2的组件特别全面,...
五分钟带你玩转oauth2(十五)重写源码,自定义RedisTokenStore进行token单点登录的续期
小鲍侃java
02-03 2963
当涉及到token时面临了一个问题,就是token续期,在单点登录的环境中,登录用户因为可能访问第三方系统产生多个token,楼主的解决方式是判断同一个ip下,同一个用户,相同类型浏览器的token同时续 1.复制spring security提供的RedisTokenStore 2.修改readAuthentication方法,在验证token时会调用这个方法。 public class CustomRedisTokenStore implements TokenStore { @A.
Spring Security Oauth2】构建授权服务器(四):token存放到Redis
apple_csdn的博客
03-10 1373
一、环境准备 1、回顾 【Spring Security Oauth2】构建授权服务器(一):内存模式 2、准备Redis 3、application.yml配置 spring: redis: host: 127.0.0.1 port: 6379 password: root database: 13 二、token存放到Redis步骤 1、Pom引入依赖 <!--springboot中的redis依赖--> <dependency
8.Spring Security Oauth2 -- redis 和 JWT存储token
折剑听雨落
06-04 4671
1.令牌的存储方式 令牌有多种存储方式,每种方式都是实现了 TokenStore 接口 存储在本机内存: InMemoryTokenStore 存储在数据库: JdbcTokenStore JWT: JwtTokenStoreJson Web Token 不会存储在任何介质中,不过我还是不推荐这种做法啊,并发 2w 以后会有问题 存储在 RedisRedisTokenStore 2.使用 Redis 存储令牌 2.1 pom添加依赖 ...
Oauth2 - FastJsonOauth2结果序列化问题的处理过程记录
qq_38800175的博客
04-15 1367
问题的暴露 起因: 在工作中,授权框架从 Spring Security 更换为 Oauth2,授权获取 token 的时候,发现登录后,使用 FastJson 和采用默认的Jackson2 颁发 token 返回结果格式完全不同,按照 Oauth2 官网提供的示例中的返回结果,对比使用 FastJson 返回结果完全不同,于是在这个情况下,决定先探一下 Jackson2 为什么会返回正确格式,而 FastJson 却存在问题。 FastJson 错误格式 { "additionalInform
Spring security oauth2 以redis作为tokenstore及jackson序列化失败
KARL的移动码堡
09-10 3681
Spring security oauth2 tokenstore序列化失败前言一、TokenStore二、步骤1.配置和代码1.1环境1.2配置文件1.2.1 授权服务器配置文件1.2.2 资源服务器配置文件1.3 java代码1.3.1 授权服务器代码1.3.2 资源服务器代码2 测试总结 前言 项目当中需要用到鉴权的场景很多,一般会使用shiro或者spring security作为一个权限验证的框架,两个框架的优缺点这里就不比较了,都是看个人习惯。自己从搭建项目时就比较倾向于选择spring全家桶
Spring Security Oauth2:RedisTokenStore(一)之Token内容揭秘
热门推荐
既无风雨也无晴
04-10 4万+
Spring Security Oauth2 之RedisTokenStore Spring Security Oauth2 存储Token方式有多种
spring cloud oauth2 替换用户信息
有情怀的程序员的博客
06-20 5655
spring cloud 的oauth2认证中,有一个用户认证服务auth,提供客户端的认证,由于oauth2有多种授权方式,不同的授权采用的方式就不一样了。 在实际业务中,比如有个应用A,有自己的数据库A,需要auth授权后才能登陆,PC端登录的时候采用的是授权码模式,使用 @EnableOAuth2Sso 注解标记一个 WebSecurityConfigurerAdapter 类。当登录认...
SpringBoot整合Redis,自定义Redis序列化以及Redis常用工具类分享
g1024173314的博客
10-25 939
SpringBoot整合Redis,自定义RedisTemplate,使用fastjson和Jackson来对Redis序列化以及Redis常用工具类分享
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值