OAuth2中 access_token,refresh_token的各类配置与使用场景FAQ

最新推荐文章于 2024-06-04 14:18:50 发布
最新推荐文章于 2024-06-04 14:18:50 发布
阅读量3.1k 收藏 10
点赞数 4
分类专栏: security+oauth2.0 文章标签: java spring 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45738731/article/details/130016556
版权

过去几年的OAuth2经历与使用,总结一下,记录有关 access_token, refresh_token的各类配置与场景适应,到此以自问自答的形式把这些琐碎的点总结下来。

说明:以下问答中的截图或表等信息以 spring-oauth-server 中配置为参考。

> 问:可以设置永不过期的 refresh_token吗?

答:可以,需要按以下步骤操作:首先在client_details定义中不设置 refresh_token_validity 字段值(即默认null),其次在配置OAuth2的DefaultTokenServices时将refreshTokenValiditySeconds属性值配置为0或小于0(默认为30天,若想修改为其他默认值也在此配置),关键代码看下图

> 问:可以设置永不过期的 access_token吗?

答:可以,但不推荐使用(因为永不过期意味着除手动清除外无安全性可言);若需要按以下步骤操作:首先在client_details定义中不设置 access_token_validity字段值(即默认null),其次在配置OAuth2的DefaultTokenServices时将accessTokenValiditySeconds属性值配置为0或小于0(默认为12小时,若想修改为其他默认值也在此配置),关键代码看下图

正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消

> 问:refresh_token功能可以禁用吗?

答:可以,首先要求client_details的grant_type不支持 refresh_token,即authorized_grant_types字段中无 refresh_token,其次在配置OAuth2的DefaultTokenServices时将supportRefreshToken配置为false即可,关键代码看下图

正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消

> 问:默认的 access_token有效时间是多少?默认的 refresh_token有效时间是多少?在哪看

答:默认access_token有效时间为12小时,默认refresh_token有效时间为30天,这两默认值在OAuth2的DefaultTokenServices中定义的,如下图:

正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消

若想改变默认值,只需要在定义client_details是修改字段access_token_validity (access_token有效时间)与 refresh_token_validity (refresh_token有效时间),单位为:秒

> 问:可否在每次调用 refresh token操作时重新生成一个 refresh_token值?若可以如何做(刷新token只能生成一次)

答:可以支持此功能,具体为在配置OAuth2的DefaultTokenServices时将reuseRefreshToken属性配置为fasle即可(默认true),关键代码看下图

正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消

> 问:能否在生成access_token后加自己扩展的代码逻辑?若能如何做

答:可以加自己的扩展逻辑。首先需要写一个类实现接口 TokenEnhancer.java ,实现方法 enhance方法,一示例如下:

其次在配置 OAuth2的DefaultTokenServices时增加tokenEnhancer属性配置,关联扩展实现的类即可,关键代码如下

实际上Spring Security OAuth2中实现JWT从而支持OIDC流程就是扩展TokenEnhancer.java来实现的(有一个实现类 JwtAccessTokenConverter.java)

> 问:生成access_token值是一UUID值吧?能否不使用UUID值,想扩展如何办?

答:确实生成的access_token是一UUID值,若要扩展不使用UUID,需要这样做:首先写一个子类继承DefaultTokenServices.java,其次将DefaultTokenServices.java的源代码复制到扩展的子类中,并修改createAccessToken方法与createRefreshToken方法中的代码(如此做是因为两方法定义的private的),关键代码如下

正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消

另一种办法是通过扩展TokenEnhancer.java 来实现(详细见上一问答)

> 问:如何提高 access_token, refresh_token的性能,默认存储在数据库中在高并发大数据时数据库连接会成为性能瓶颈的

答:在大数据高并发环境时,建议使用Redis,将access_token, refresh_token存储在Redis中实现,具体在配置OAuth2的TokenStore时使用子类 RedisTokenStore(默认使用的子类为JdbcTokenStore),更多信息请查看 在spring-oauth-server中将AccessToken存入Redis的配置 | MONKEYK.博客

更高的性能推荐使用JWT格式的token,详见 spring-oauth-server 2.1.0 发布,增加更多灵活场景 | MONKEYK.博客

> 问:OAuth2.0之后有新的版本协议?若有在使用上有哪些变化呢?

答:有,OAuth2.1版本协议,状态与特征详见 OAuth 2.1的状态与主要特征 | MONKEYK.博客

Uncle_?
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
accessTokenrefreshToken区别
Mr.绵羊的知识星球
09-01 2163
accessTokenrefreshToken关联和区别
OAuth2有了token为啥还要refresh token
qq_27210677的专栏
02-24 810
access token 就是普通理解的token,用于唯一身份的标识,每次在请求后端,访问受保护的资源时,比如用户的个人信息,通讯录等,需要通过access token令牌来 访问受保护的资源。OAuth2是一种授权框架,用于允许第三方应用程序(客户端)在不知道用户的凭证(例如用户名密码)的情况下,访问受保护的资源(比如用户的个人信息,通讯录等)。在OAuth2授权框架access tokenrefresh token授权认证的令牌,但他们的作用是不同的。资源持有者:拥有受保护资源的用户。
`AccessToken`和`RefreshToken`安全令牌
最新发布
qq_31532979的博客
06-04 900
`AccessToken`和`RefreshToken`安全令牌
OAuth2.0用refresh_token更新access_token令牌
张俊杰 的博客
02-07 6287
概述 使用oauth2时,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。只需修改认证服务器的配置,添加refresh_token的授权模式即可。 修改授权服务器配置,增加refresh_token配置 ​ @Autowired private UserService userService; @Override public void configure(AuthorizationServerEndpointsConfigurer endpoint
Oauth2 数据库表说明
zzy7075的专栏
05-24 1881
表名 字段名 字段说明 oauth_client_details client_id 主键,必须唯一,不能为空. 用于唯一标识每一个客户端(client); 在注册时必须填写(也可由服务端自动生成). 对于不同的grant_type,该字段都是必须的. 在实际应用的另一个名称叫appKey,与client_id是同一个概念. resource_ids 客户端所能访问的资源id集合,多个资源时用逗号(,)分隔,如: "unity-resource,mobil
【笔记】浅谈OAuth2 accessToken和OIDC idToken的理解和使用场景
LeoSong121的博客
04-02 1万+
前言 OAuth2 官网:https://oauth.net/2/ OIDC:Open ID Connect 官网:http://openid.net/connect/ What is OpenID Connect? OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User bas
后端利用accessTokenrefreshToken无感刷新
没有翅膀的我们,只是随便认为不能飞而已
06-15 5220
项目初衷 以jwt(由header,payload和signature组成)为例,用户登录成功,后端返回accessToken。前端保存,请求接口携带,一切都是水到渠成的 可是在acessToken失效时,你正好请求一次接口,接口就挂了,可能你就跳到登录页了,用户体验也不好。我们希望虽然过期了,但是页面偷偷地刷新,不影响当前接口运行。如果你的方案是把accessToken的有效期设置地久一点,比如100年。你真的是个机智Boy,那设置jwt的意义何在。 方案 accessTokenrefreshToken
oauth2获取access_token1
08-08
OAuth2 协议,获取 access_token 是一个非常重要的步骤。 access_token 是客户端访问资源服务器的唯一凭证,用于身份验证和授权。下面将详细介绍 OAuth2 获取 access_token 的几种方式。 简化模式(Implicit)...
oauth2.0 access_token资源认证
01-10
在这个场景,我们关注的是如何利用OAuth2.0来实现对Oracle数据库资源的认证,以及生成access_token的过程。 OAuth2.0的核心流程分为四个角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器...
access_token验证过期类
11-29
2. **刷新令牌**:如果`access_token`未过期但接近到期,应用可以使用刷新令牌(`refresh_token`)来获取新的`access_token`。刷新令牌通常具有较长的有效期,允许在不重新授权用户的情况下获取新令牌。 3. **重新...
微信登录 For ASP OAuth2.0接口 获取 OpenId Access_Token
10-31
6. **存储和使用Access Token**:在ASP应用,你需要安全地存储Access Token,以便在后续请求使用Access Token有一定的有效期,需要在过期前使用Refresh Token更新。 在ASP环境实现这一流程,你可能需要使用...
Laravel开发-laravel_access_token
08-28
综上所述,Laravel的`laravel_access_token`涉及到OAuth2授权和Laravel Passprot的使用,是构建安全、可扩展的API的关键技术。了解并熟练掌握这些知识点,有助于开发者构建符合标准且易于维护的API服务。在实际项目...
【SSO单点登录】JWT续签问题 && OAuth2.0 refreshToken刷新机制
老男孩的架构路
10-14 2214
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端,前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这里就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端需要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token里边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
SpringBootSecurity学习(20)前后端分离版之OAuth2.0刷新token
Blues的专栏
10-11 2428
刷新token 前面的例子和配置都是从头开始申请授权码和令牌,现在来看一下如何根据获取令牌时,回参refresh_token 来刷新令牌。现在在项目配置的是内存模式的默认用户名密码,第一步先改成数据库查询的方式,具体过程参考前面的文章即可,来看security配置类: 然后修改授权服务配置类,在 endpoints 配置userDetailsService: 修改成数据库方式也是为了...
OAuth2.0知识点
YuannaY的博客
04-10 129
了解OAuth2的基本概念和流程
Spring Oauth2+JWT后端自动刷新Access_token
程序员小乐
08-26 2825
点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文Sometimes it's not the person yo...
可能是全网最详细的 Spring Cloud OAuth2 单点登录使用教程了
小梦爱Java的博客
08-03 5万+
OAuth 2 有四种授权模式,分别是授权码模式(authorization code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(client credentials),具体 OAuth2 是什么,可以参考这篇文章。(http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html) 本文我们将使用授权码模式和密码模式两种方式来实现用户认证和授权管理。 OAuth2 .
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 17万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
access_tokenrefresh_token之为什么要用refresh_token刷新不重新获取access_token?
Soul_Nick_Kingdom
01-23 3万+
作为一个小白,在做微信第三方登录的时候遇到的一些问题总结了一下: 问题:access_tokenrefresh_token之为什么要用refresh_token刷新不重新获取access_token?   网上挺多回答的,但是我都觉得不是很满意,所以我就自己总结了一下;   原因是access_token只保存2个小时,而refresh_token保存30天; 当access_tok
access_tokenrefresh_token有什么区别
06-01
access_tokenrefresh_token都是用于OAuth2.0授权的令牌(token)。 access_token是用于访问受保护资源的令牌。当用户授权给客户端访问受保护资源时,客户端会向授权服务器请求access_token,授权服务器会根据用户的身份验证和授权情况,颁发一个有效期较短的access_token。客户端在访问受保护资源时需要携带access_token,以证明其有权限访问该资源。 refresh_token是用于获取新的access_token的令牌。由于access_token的有效期较短,当它过期后,客户端需要重新请求access_token。此时,如果客户端使用的是refresh_token,那么它可以向授权服务器请求一个新的access_token,而无需再次进行用户授权。 因此,access_tokenrefresh_token的主要区别在于:access_token是用于访问受保护资源的令牌,而refresh_token是用于获取新的access_token的令牌。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值