设置 OAuth2 访问令牌的签发时间 (issuedAt) 和过期时间 (expiresAt)

于 2024-06-13 16:59:01 发布
阅读量559 收藏 6
点赞数 9
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45822542/article/details/139658920
版权 
Instant issuedAt = Instant.now();
Instant expiresAt = issuedAt.plus(registeredClient.getTokenSettings().getAccessTokenTimeToLive());

上述代码用于设置OAuth2访问令牌的签发时间和过期时间,主要出现在OAuth2认证和授权过程中,特别是在生成访问令牌时

Instant issuedAt = Instant.now();

  • 获取当前时间,并将其设置为令牌的签发时间(issuedAt)。

Instant expiresAt = issuedAt.plus(registeredClient.getTokenSettings().getAccessTokenTimeToLive());

  • 从注册客户端的令牌设置中获取访问令牌的存活时间(AccessTokenTimeToLive)。
  • 将存活时间加到签发时间上,计算出令牌的过期时间(expiresAt)。

使用场景

  1. OAuth2 认证和授权流程
    • 在 OAuth2 认证和授权过程中,当客户端请求访问令牌时,授权服务器会生成一个访问令牌。此时需要确定令牌的签发时间和过期时间,以便设置令牌的有效期。
  2. 令牌管理
    • 在生成和管理 OAuth2 访问令牌时,需要准确记录令牌的签发和过期时间,以便在后续的访问控制和授权检查中使用。这有助于确保令牌在其有效期内使用,避免过期令牌的滥用。
  3. 安全性要求
    • 设定访问令牌的有效期是安全性的重要一环。通过明确的签发时间和过期时间,可以限制令牌的使用期限,降低令牌被滥用的风险。在过期后,客户端需要重新请求新的令牌,从而提高整体系统的安全性。
  4. 自定义令牌生成逻辑
    • 在一些高级应用场景中,可能需要自定义令牌的生成逻辑。例如,在生成 JWT(JSON Web Token)时,需要包含 iat(issued at)和 exp(expiration)字段,以便验证令牌的有效性。

实际应用示例

示例1:OAuth2 认证服务器

在一个 OAuth2 认证服务器中,当用户成功通过身份验证并请求访问令牌时,代码可能如下:

public OAuth2AccessToken generateAccessToken(OAuth2Authentication authentication) {
    Instant issuedAt = Instant.now();
    Instant expiresAt = issuedAt.plus(tokenSettings.getAccessTokenTimeToLive());
    
    OAuth2AccessToken accessToken = new OAuth2AccessToken(
        OAuth2AccessToken.TokenType.BEARER,
        UUID.randomUUID().toString(),
        issuedAt,
        expiresAt,
        authentication.getScope()
    );

    return accessToken;
}

示例2:自定义令牌生成器

在自定义的令牌生成器中,可以通过注入 RegisteredClient 的设置来定制令牌的有效期:

public class CustomTokenGenerator implements OAuth2TokenGenerator<OAuth2AccessToken> {

    @Override
    public OAuth2AccessToken generate(OAuth2TokenContext context) {
        RegisteredClient registeredClient = context.getRegisteredClient();
        Instant issuedAt = Instant.now();
        Instant expiresAt = issuedAt.plus(registeredClient.getTokenSettings().getAccessTokenTimeToLive());

        return new OAuth2AccessToken(
            OAuth2AccessToken.TokenType.BEARER,
            UUID.randomUUID().toString(),
            issuedAt,
            expiresAt,
            context.getAuthorizedScopes()
        );
    }
}

总结

这段代码主要用于在生成 OAuth2 访问令牌时设置令牌的签发时间和过期时间,以确保令牌在特定的时间段内有效。它广泛应用于 OAuth2 认证和授权流程中,通过准确设置令牌的有效期,提升系统的安全性和可靠性。

hate z β 撇 s
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shopify-token:轻松获取Shopify API的OAuth 2.0访问令牌
04-27
购物令牌 该模块可帮助您检索Shopify REST API的访问令牌。 它提供了一些方便的方法,可在实现。 无需对服务器端体系结构进行任何假设,从而使该模块可以轻松适应任何设置。安装npm install --save shopify-token...
access-token:小型OAuth2访问令牌助手
05-09
访问令牌 小型OAuth2访问令牌助手。安装$ npm install access-token用法var options = { site : 'my.oauth.com' , clientId : 'my-client-id' , clientSecret : 'my-client-secret' , tokenPath : '/oauth/token' , ...
Springsecurity Oauth2 设置token的过期时间
热门推荐
qq_44605317的博客
06-17 2万+
1.设置token的过期时间 如果我们是从数据库来读取客户端信息的话 我们只需要在数据库设置token的过期时间 client_id:客户端的id resource_ids:资源服务器的id,多个用,(逗号)隔开 client_secret:客户端的秘钥 authorized_grant_types: ...
看完这篇文章,你如果还不知道怎么设置Oauth2令牌过期时间算我输
恒宇少年De成长之路
12-12 4000
OAuth2所生成的AccessToken以及RefreshToken都存在过期时间,当在有效期内才可以拿来作为会话身份发起请求,否者认证中心会直接拦截无效请求提示已过期,那么我们怎么修改这个过期时间来满足我们的业务场景呢? 目前一线大厂所使用的的AccessToken的有效期一般都是7200秒,也就是2小时,而且有获取的次数限制,所以发起请求的一方必须通过一定的形式保存到本地,以方便下一次发起请...
Spring Security oAuth2.0设置access_token和refresh_token的有效时长
崔向阳@李晓的博客
07-04 1万+
oAuth2.0中access_token默认有效时长为12个小时,refresh_token默认时长为30天。在实际运用中需要根据需求设置有效时长。 在AuthorizationServerConfigurerAdapter,重写一个TokenServices, @Override public void configure(AuthorizationServerEndpo...
SpringSecurity OAuth2 配置 token有效时长
qq_31683775的博客
09-08 3456
SpringSecurity OAuth2 配置 token有效时长
django_rest_framework_simplejwt如何更改token的默认过期时间
hk2872983273的博客
11-02 436
jwt的token过期时间是在settings.py中设置的,可是却不是django项目的settings.py中设置的,django项目的settings.py不会覆盖jwt的settings,因此我们需要在jwt模块中的settings.py更改过期时间
oauth2.0为什么需要设置过期时间以及刷新时间的一些理解
weixin_42112451的博客
11-12 1802
1.为什么需要设置过期和刷新时间 如果令牌过期,那么系统被第三方攻击的可能性会大幅度提高,肯定不可取。令牌如果永远不刷新同理。 2.过期时间与刷新时间设置 一般来说刷新时间需要大于过期时间,否则刷新时间就失去了意义,当用户登录后令牌还未过期的情况下,令牌就被刷新了,此时客户的令牌已被认为无效。 纯属个人理解,谢谢。 ...
OAuth2.0 token的自动续期问题
xiao_ying_bo_ke的博客
05-27 1110
OAuth2.0 的token自动续期源码分析及实现
passport-github-token:通过OAuth2访问令牌通过GitHub进行身份验证的Passport策略
04-30
使用OAuth 2.0 API使用GitHub访问令牌进行身份验证的策略。 该模块使您可以在Node.js应用程序中使用GitHub进行身份验证。 通过插入Passport,可以轻松,毫不费力地将GitHub身份验证集成到任何支持风格中间件(包括...
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
在Spring Cloud中,使用`ResourceServerConfigurerAdapter`进行配置,通常需要配置访问令牌的解析方式,如JWT(JSON Web Tokens)或者OAuth2的Resource Server端点。 单点登录(SSO)允许用户在一个系统登录后,...
springboot整合OAuth2组件,模拟第三方授权访问
最新发布
06-25
核心依赖 <groupId>org.springframework.boot <artifactId>spring-boot-starter-web <groupId>org.springframework...这里有两个核心组件依赖:OAuth2组件和Security组件。 模块划分 auth-server:授权服务 re
Spring Security OAuth2 Opaque 令牌的简单使用指南
new_ord的博客
11-13 1838
在本文中,我们使用Spring Authorization Server设置OAuth2授权服务器,并学习了如何配置基于 Spring Security 的资源服务器应用程序来验证不透明令牌
spring security oauth2 jwt过期时间不准原因分析以及解决办法
qq1010830256的博客
11-06 3114
源码跟踪spring security oauth2框架中jwt过期时间不准的问题
将Spring Cloud Gateway 与OAuth2模式一起使用
new_ord的博客
08-14 3292
Spring Cloud Gateway是一个构建在 Spring 生态之上的 API Gateway。本文我们将使用OpenID Connect 身份验证,Spring Cloud Gateway 将用户身份验证令牌中继到下游服务。
Spring Authorization Server 0.2.3变化
罗小爬的技术宝书
04-21 1734
Spring Authorization Server 0.2.3(2022-03-24)相关变化说明
Oauth2设置令牌过期时间accessTokenValiditySeconds,在代码中怎么判断是否过期
qq_37795502的博客
09-07 8495
我们再配置ouath2的时候都会配置资源认证的服务器 其中在配置授权服务器断点时会配置令牌的存储:tokenStore(tokenStore) ,这个令牌存储中会存令牌过期时间,cliend_id,name等信息,一般默认使用InMemoryTokenStore()存储。我们可以在AuthorizationServerEndpointsConfigurer类中查看区别判断token的存储代码逻辑 有了上面的前提后,我们直接在AuthorizationServerEndpointsConfigure
Oauth2 中 access_token和refresh_token的过期时间
霸王龙i的博客
01-07 2万+
org.springframework.security.oauth2.provider.token.DefaultTokenServices 在这个类
oauth2设置令牌过期时间
08-26
在Spring Security OAuth2框架中,生成的access_token访问令牌默认的过期时间是1小时。如果你想修改这个过期时长,你需要同时修改控制台中页面自动退出登录的时长,以保持一致。需要注意的是,即使还没有到达access_token的过期时间,如果页面提前退出登录,你仍然无法再使用这个访问令牌。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [SpringSecurity Oauth2 - 11 只要请求访问后台接口就延长访问令牌过期时间](https://blog.csdn.net/qq_42764468/article/details/128341295)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值