Spring Security oAuth2.0设置access_token和refresh_token的有效时长

最新推荐文章于 2024-08-07 08:30:00 发布
最新推荐文章于 2024-08-07 08:30:00 发布
阅读量1.7w 收藏 14
点赞数 3
分类专栏: Spring Security oAuth2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013310119/article/details/94632508
版权

oAuth2.0中access_token默认有效时长为12个小时,refresh_token默认时长为30天。在实际运用中需要根据需求设置有效时长。

在AuthorizationServerConfigurerAdapter,重写一个TokenServices,

  @Override  
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    	
        // 设置令牌        
        endpoints.tokenStore(tokenStore()).userDetailsService(userDetailsService1());  
        // 最后一个参数为替换之后授权页面的url
        endpoints.pathMapping("/oauth/confirm_access","/custom/confirm_access");
        //endpoints.tokenServices(defaultTokenServices());
        DefaultTokenServices tokenServices = new DefaultTokenServices();
        tokenServices.setTokenStore(endpoints.getTokenStore());
        tokenServices.setSupportRefreshToken(true);  
        tokenServices.setClientDetailsService(endpoints.getClientDetailsService());
        tokenServices.setTokenEnhancer(endpoints.getTokenEnhancer());
        tokenServices.setAccessTokenValiditySeconds(60*60*2);//token有效期设置2个小时
        tokenServices.setRefreshTokenValiditySeconds(60*60*12);//Refresh_token:12个小时
        endpoints.tokenServices(tokenServices);            
    }

也可以参考如下博客配置:

Spring cloud oauth2.0 access_token 永不失效设置方法

一个朋友新做的公众号,帮忙宣传一下,会不定时推送一些开发中碰到的问题的解决方法,以及会分享一些开发视频。资料等。请大家关注一下谢谢:

李晓LOVE向阳
关注
专栏目录
IOS 微博最新SDK的授权有效期延续,即refresh_token使用
技术转管理历程
10-23 961
利用微博官网开发者界面下载的IOS SDK和测试DEMO,可以获取一个TOKEN。移动端的返回结果,比网页端多了一个refresh_token.格式如下: { "access_token" = "2.00t7usFGurBaNB73f95612a7TQghwC"; "expires_in" = 2626641; "refresh_token" = "2.00t7usFG...
如何用Spring OAuth2.0 Client组件获取授权access_token
热门推荐
qq_25838503的博客
01-03 2万+
使用背景 :公司有个开发平台,若要访问开发平台,必须先要获取授权访问令牌(也就是下面说的:access_token)。公司的授权系统是用spring oauth2.0实现的,今天就不讲这个项目,网上比较多。今天主要是讲下网络的比较少会用到的,spring 有个OAuth2.0 Client 组件会去实现获取access_token,然后spring 官网上关于这个组件的文档一点都不完善,只能自己研
SpringSecurity OAuth2 配置 token有效时长
qq_31683775的博客
09-08 3662
SpringSecurity OAuth2 配置 token有效时长
Token设计:Access TokenRefresh Token
最新发布
常备不懈
08-07 911
在现代Web应用中,身份验证和授权是确保安全性的关键部分。Access TokenRefresh Token是用于这一过程的重要组件。
OAuth2.0 token的自动续期问题
xiao_ying_bo_ke的博客
05-27 1646
OAuth2.0token自动续期源码分析及实现
springsecurity-oauth2令牌 access_token验证
clonetx的博客
06-21 4256
springsecurity oauth2 令牌access_token验证源码分析
第三十二章:如何获取SpringBoot项目的applicationContext对象
weixin_34067102的博客
11-15 214
ApplicationContext对象是Spring开源框架的上下文对象实例,在项目运行时自动装载Handler内的所有信息到内存。传统的获取方式有很多种,不过随着Spring版本的不断迭代,官方也慢慢的不建议使用部分方式。下面我简单介绍一种Spring官方推荐使用的方式! 本章目标基于SpringBoot平台完成ApplicationContext对象的获取,并通过实例手动获取Spring管理...
oauth2.0 access_token资源认证
01-10
在这个场景中,我们关注的是如何利用OAuth2.0来实现对Oracle数据库资源的认证,以及生成access_token的过程。 OAuth2.0的核心流程分为四个角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器...
Oauth2.0 获得access_token以后
koastal的博客
07-13 5879
前段时间写了一篇博客 OAuth2.0的学习和实践,以新浪微博为例,简述了Oauth2.0的授权流程和使用方法。 一个成功的授权流程可分为以下几步: 开发者提供第三方登录按钮 用户点击登录,去第三方授权(微博,QQ,微信等) 授权完成,跳转到开发者提供的callback地址,并给出code参数。 开发者使用提前在第三方网站上申请的App_key和App_Secret以及上一步的code参数,向第三
Oauth2.0(三):Access TokenRefresh Token
blowing00的专栏
02-28 3700
access token 是应用方访问资源服务器的接口时,需要提供的一个令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access token 泄露而带来的风险。 然而引入了有效期之后,应用方使用起来就不那么方便了。每当 ...
基于Spring Security OAuth2.0、JwtToken的微服务鉴权Demo
xiaxuepiaopiao的博客
05-07 3828
一、前记 记得很久之前面试美的,当时吹水微服务,被人问到一个问题:微服务鉴权如何处理的?嗯,很简单一个问题,但是懵逼了(水平不行啊),自然就挂了,后面就想以后吹水微服务一定要做好鉴权这一块的内容。 二、准备知识 Spring SecurityOAuth2.0、Jwt;网上有很多内容,这里不赘述。 OAuth2.0主要学几种模式,如密码模式、客户端模式等等,这里我们使用密码模式。 三、参考文章 本...
设置 OAuth2 访问令牌的签发时间 (issuedAt) 和过期时间 (expiresAt)
weixin_45822542的博客
06-13 685
它广泛应用于 OAuth2 认证和授权流程中,通过准确设置令牌的有效期,提升系统的安全性和可靠性。上述代码用于设置OAuth2访问令牌的签发时间和过期时间,在自定义的令牌生成器中,可以通过注入。示例1:OAuth2 认证服务器。,特别是在生成访问令牌时。示例2:自定义令牌生成器。
spring-oauth-server实践:access_token有效期分析
weixin_33701294的博客
07-07 135
1、access_token有效期检查   用expiration和new Date()比较!!!!!! 分析目标--》expiration什么时候设置设置规则如何配置!!!!!!! 2、access_token有效设置     3、结论 1、如果你指定了client的如下字段,可以單獨控制client的token有效期  指定方法:新增client時指定     2、...
基于springSecurity的双token机制(accesToken,refreshToken)以及如何刷新token
AllenLuoYi的博客
06-14 1121
核心功能概要: 通过加密算法创建一个用户:1.代码整体结构: 2.所需依赖: 3.UserDetailServiceImpl拦截用户登陆:4.所需工具类4.1ApplicationContextUtils: 4.2JwtUtils:4.3ResponseResult4.4ResponseStatus4.5RsaUtils:4.6.SecurityContextUtil5.SecurityConfig:6.LoginSuccessHandler登陆成功处理器:7.RequestAuthenticationFi
Spring Security OAuth2 Redis存储token refresh_token永不过期问题详解
OceanSky的专栏
07-27 1万+
1.先看几个实现类,然后再看源码分析这样会更清晰 OAuth2AccessToken接口的默认实现是DefaultOAuth2AccessToken类(自带过期时间属性) OAuth2RefreshToken接口的默认实现是DefaultOAuth2RefreshToken类(不带过期时间属性) ExpiringOAuth2RefreshToken接口父接口是OAuth2RefreshToke...
聊聊 OAuth 2.0 的 Token 续期处理
冷冷的博客
06-08 4003
Token 校验逻辑 // CheckTokenEndpoint.checkToken @RequestMapping(value = "/oauth/check_token") @ResponseBody public Map<String, ?> checkToken(@RequestParam("token") String value) { // 根据 token 查询保存在 tokenStore 的令牌全部信息 OAuth2Ac
OAuth2access_tokenrefresh_token的各类配置与使用场景FAQ
weixin_45738731的博客
05-17 3547
过去几年的OAuth2经历与使用,总结一下,记录有关 access_token, refresh_token的各类配置与场景适应,到此以自问自答的形式把这些琐碎的点总结下来。说明:以下问答中的截图或表等信息以中配置为参考。
accessToken refreshToken简单使用源码demo,双token刷新及有效时间设置
很多时候犯错都是在不知情的情况下发生的
10-06 1359
最后会附上源码 这篇介绍了一个项目中使用的双token登录认证刷新的demo,如需移植到生产项目中,需要根据实际情况做修改。有个地方需要注意: 我这里刷新产生新的refreshToken时 旧的refreshToken并没有失效,如果不是特别敏感这点的话可以不计较,若是在意的话,那需要自己处理:比如用缓存记录失效的token每次token认证判断是否是失效的token ,如果是的话就返回验证失败。 下面代码中会用到本地redis缓存,如果没有安装或不会用,看下我之前的博文win7_64 redis下载安
解决:spring security 登录页停留时间过长 跳转至 403页面
该怎么解释?我懒得解释
12-01 3870
前言:最近的项目中用到了spring security组件,说句显low的话:我刚开始都不知道用了security好不勒,提了bug,在改的过程中,遇到了一些问题,找同事交流,才知道是用的security组件。 这个bug,真的是一波三折:复现它就是个问题,然后我又把403改成了404,后来干脆登录不进去主站,最后,这个bug,被消灭在本宝宝的代码中,哈哈哈哈哈! 问题所在:token
access_tokenrefresh_token有什么区别
06-01
access_tokenrefresh_token都是用于OAuth2.0授权中的令牌(token)。 access_token是用于访问受保护资源的令牌。当用户授权给客户端访问受保护资源时,客户端会向授权服务器请求access_token,授权服务器会根据用户的身份验证和授权情况,颁发一个有效期较短的access_token。客户端在访问受保护资源时需要携带access_token,以证明其有权限访问该资源。 refresh_token是用于获取新的access_token的令牌。由于access_token有效期较短,当它过期后,客户端需要重新请求access_token。此时,如果客户端使用的是refresh_token,那么它可以向授权服务器请求一个新的access_token,而无需再次进行用户授权。 因此,access_tokenrefresh_token的主要区别在于:access_token是用于访问受保护资源的令牌,而refresh_token是用于获取新的access_token的令牌。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李晓LOVE向阳

你的鼓励是我持续的不断动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值