Spring Authorization Server优化篇:持久化JWKSource,解决重启后无法解析AccessToken问题

已于 2023-07-12 22:59:55 修改
阅读量1.3k 收藏 5
点赞数 3
分类专栏: Spring Authorization Server Spring Security Spring 文章标签: spring 安全
于 2023-07-12 22:53:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43356507/article/details/131691935
版权

问题描述

自从第二章将认证服务搭建起来以后就很少更改基础配置了,直到今天有位读者提了一个问题,对我发出了灵魂拷问:重启后jwks的配置发生了变化,无法正确解析token,那Auth服务重启后有办法规避这种情况吗?假如生产环境这样,服务重新部署后之前所有登录的用户必须重新登陆。原问题见下方附图
问题截图

解决方案分析

当时本人想到的是将生成的JWKSource保存至redis,每次重启从redis中获取,这样不管重不重启生成的都是同一个,也就不会出现服务重启后无法解析在有效期内的AccessToken问题了,但是又怕不能序列化,就去查看代码了,最终功夫不负有心人,经过一番查找后发现最主要的配置是来自JWKSet的实例,在JWKSet找到了toString方法和对应的parse方法,toString方法是将jwks的信息转为json字符串,而parse就是读取并解析json字符串,将其转为JWKSet实例

JWKSet中的toString方法

JWKSet中的toString方法

方法内部将jwks转为一个json字符串返回

JWKSet中的parse方法

JWKSet中的parse方法

方法内部根据给定的字符串解析并返回一个JWKSet。

编码解决问题

根据上边的分析得出解决方案,在配置JWKSource之前先从redis中尝试获取一下,获取不到就生成并存入redis;获取到直接解析并生成一个JWKSet;修改AuthorizationConfig类中的JWKSource配置,如下所示

/**
 * 配置jwk源,使用非对称加密,公开用于检索匹配指定选择器的JWK的方法
 *
 * @return JWKSource
 */
@Bean
@SneakyThrows
public JWKSource<SecurityContext> jwkSource() {
    // 先从redis获取
    String jwkSetCache = redisOperator.get(RedisConstants.AUTHORIZATION_JWS_PREFIX_KEY);
    if (ObjectUtils.isEmpty(jwkSetCache)) {
        KeyPair keyPair = generateRsaKey();
        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
        RSAKey rsaKey = new RSAKey.Builder(publicKey)
                .privateKey(privateKey)
                .keyID(UUID.randomUUID().toString())
                .build();
        // 生成jws
        JWKSet jwkSet = new JWKSet(rsaKey);
        // 转为json字符串
        String jwkSetString = jwkSet.toString(Boolean.FALSE);
        // 存入redis
        redisOperator.set(RedisConstants.AUTHORIZATION_JWS_PREFIX_KEY, jwkSetString);
        return new ImmutableJWKSet<>(jwkSet);
    }
    // 解析存储的jws
    JWKSet jwkSet = JWKSet.parse(jwkSetCache);
    return new ImmutableJWKSet<>(jwkSet);
}

附一下RedisConstants类中的AUTHORIZATION_JWS_PREFIX_KEY常量

/**
 * jwk set缓存前缀
 */
public static final String AUTHORIZATION_JWS_PREFIX_KEY = "authorization_jws";

修改配置后启动认证服务,使用oauth2的几种方式获取一下token,然后重启服务携带token请求一下看看认证服务能否解析AccessToken,如果有什么问题可以在评论区中提出。

代码已提交至Gitee

天玺-vains
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 15
    评论
专栏目录
SpringOauth2.0源码分析之Token持久化(五)
有信仰的蜗牛
10-29 2689
1.概述 前面几个章节所述内容如下: SpringOauth2.0源码分析之认证流程分析(一) SpringOauth2.0源码分析之ProviderManager(二) SpringOauth2.0源码分析之客户端认证(三) SpringOauth2.0源码分析之获取access_token(四) 本章节主要叙说Token的存储情况。默认的情况下,SpringOauth2.0 提供4种方式存...
spring-security-oauth2-authorization-server(四)Redis存储token实现
2301_78976656的博客
07-10 1128
org.apache.commons commons-pool2
spring-security-oauth2将token持久化到redis中
u013008898的博客
06-12 541
pom: RedisConfig: AuthorizationServerConfig;
Spring Security OAuth2实现简单的密钥轮换及配置资源服务器JWK缓存
new_ord的博客
09-15 2413
本文介绍Spring Security OAuth2实现简单的密钥轮换,为了维护安全性,保持私钥免受任何网络攻击是所必需的。
SpringOauth2AuthorizationServer:通过SpringBoot设置Oauth2 AuthorizationServer
05-25
Spring Boot Oauth2 – AuthorizationServer:数据库处理,已应用JWT令牌方法 文档 吉特 Oauth2授权代码实践 代币发行 curl -X POST'...
spring-authorization-server:由Spring Security团队领导的社区驱动项目,致力于为Spring社区提供Authorization Server支持
03-20
Spring Authorization Server是由团队领导的社区驱动的项目,致力于向Spring社区提供支持。 该项目将作为独立项目在Spring的实验项目中开始,以便它可以更快地发展。 该项目的最终目标是取代提供的Authorization ...
Spring 官方发起Spring Authorization Server 项目
01-06
Spring官方在近日发布了一则消息:将发起一个新的名为Spring Authorization Server[1]的项目。该项目是由Spring Security主导的一个社区驱动项目,旨在向Spring社区提供授权服务器支持。 谈及缘由,大约十年前Spring...
spring-reactive-authorization-server
03-07
支持具有较旧版本的spring的支持项目,这些项目希望转换为响应式和/或等待使用响应式实现发布Spring Authorization Server项目。 笔记 我无意声称Pivotal作品是我自己的作品。 我只创建旧的Spring授权服务器的React...
This module is based on Spring Authorization Server and contains
最新发布
07-12
This module is based on Spring Authorization Server and contains information on using Spring Security OAuth2
Spring 集成 OAuth2.0之授权码模式
ZN_nick_NZ的博客
03-11 2192
Spring 集成 OAuth2.0之 授权码模式 介绍 新版本的Spring Security将OAuth的认证服务单独拆成了一个模块,叫做 Spring Authorization Server,目前最新版本为0.2.2。本文将以Spring Authorization Server为基础实现一个基本的授权码授权功能。 前提 对Spring Security框架有一定的了解。 OAuth2.0授权码模式介绍 授权码模式的具体内容可以参考阮一峰大神的文章(OAuth2.0的四种模式)。这里
SpringBoot 最新版3.x 集成 OAuth 2.0 实现认证授权服务、第三方应用客户端以及资源服务...
Java知音
06-11 2623
前言Spring Boot 3已经发布一段时间,网上关于Spring Boot 3的资料不是很多,本着对新技术的热情,学习和研究了大量Spring Boot 3新功能和新特性,感兴趣的同学可以参考Spring官方资料全面详细的新功能/新改进介绍Spring版本升级到6.xJDK版本至少17+新特性有很多,本文主要针对OAuth 2.0的集成,如果快速开发自己的认证授权服务、OAuth客户端以及资源...
微服务安全Spring Security Oauth2实战
xnxqwzy的博客
04-01 1938
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
Spring OAuth2 授权服务器配置详解,百度java面试难度
2301_79099373的博客
04-10 833
光给面试题不给答案不是我的风格。这里面的面试题也只是凤毛麟角,还有答案的话会极大的增加文章的幅,减少文章的可读性。
Spring Authorization Server入门 (六) 自定义JWT中包含的内容与资源服务jwt解析
云逸的博客
06-07 3856
最后经过两个简单的配置实现了自定义的token内容与解析器,这也正是框架灵活与支持高度自定义的体现,实际上这些操作的代码部分都比较少,多的是理论部分,结合文档与源码能够更好的理解框架,文档中对于某些类的应用一般会有详细的说明与示例存在。
spring authorization server系列教程】(一)入门系列,spring authorization server简介。快速构建一个授权服务器(基于最新版本0.3.0)
热门推荐
爱音乐的程序猿的博客
06-07 1万+
spring authorization server系列教程】(一)入门系列,快速构建一个授权服务器spring authorization serverspring团队最新的认证授权服务器,之前的oauth2后面会逐步弃用。不过到现在发文的时候,我看到官网已经把之前oauth2仓库废弃了。 现在spring authorization server已经到生产就绪阶段了,不过目前项目还没有完全到生产可用阶段。...
SpringSecurityOAuth已停更,来看一看进化版本Spring Authorization Server
Hanko的专栏
06-05 1631
Spring Authorization ServerSpring Security OAuth的进化版本,Spring Security OAuth官方已经宣布“End of Life”了。Spring Security OAuth使用的是OAuth2.0标准而Spring Authorization Serve引入了对OAuth 2.1和OpenID Connect 1.0规范的支持,并提供了更多功能和改进。它提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现。
Spring Authorization Server RedisTokenStore怎么做序列化和反序列化
06-03
Spring Authorization Server RedisTokenStore 默认使用 JDK 序列化方式来序列化和反序列化 Token,但是 JDK 序列化方式有一些缺点,比如序列化后的字节数组长度大、序列化速度慢、可读性差等。为了解决这些问题,可以使用其他序列化方式,比如 JSON 序列化方式。 具体实现步骤如下: 1. 添加 Redis 相关依赖,比如 jedis、lettuce 等。 2. 在 Spring Security 配置类中创建 RedisConnectionFactory 和 RedisTemplate,代码如下: ``` @Configuration public class RedisConfig { @Bean public RedisConnectionFactory redisConnectionFactory() { return new LettuceConnectionFactory("localhost", 6379); } @Bean public RedisTemplate<String, Object> redisTemplate() { RedisTemplate<String, Object> redisTemplate = new RedisTemplate<>(); redisTemplate.setConnectionFactory(redisConnectionFactory()); redisTemplate.setKeySerializer(new StringRedisSerializer()); redisTemplate.setValueSerializer(new GenericJackson2JsonRedisSerializer()); return redisTemplate; } } ``` 3. 修改 TokenStore 的实现类 RedisTokenStore 中的序列化代码,将 JDK 序列化方式改为 JSON 序列化方式,代码如下: ``` public class RedisTokenStore implements TokenStore { private static final String ACCESS_TOKEN_PREFIX = "access:"; private static final String REFRESH_TOKEN_PREFIX = "refresh:"; private final RedisTemplate<String, Object> redisTemplate; public RedisTokenStore(RedisConnectionFactory connectionFactory) { Assert.notNull(connectionFactory, "connectionFactory cannot be null"); this.redisTemplate = new RedisTemplate<>(); this.redisTemplate.setConnectionFactory(connectionFactory); this.redisTemplate.setKeySerializer(new StringRedisSerializer()); this.redisTemplate.setValueSerializer(new GenericJackson2JsonRedisSerializer()); this.redisTemplate.setHashKeySerializer(new StringRedisSerializer()); this.redisTemplate.setHashValueSerializer(new GenericJackson2JsonRedisSerializer()); this.redisTemplate.afterPropertiesSet(); } // ... } ``` 这样就可以使用 JSON 序列化方式来序列化和反序列化 Token 了。
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天玺-vains

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值