OAuth2.0 token的自动续期问题

最新推荐文章于 2024-07-10 09:47:16 发布
最新推荐文章于 2024-07-10 09:47:16 发布
阅读量1.3k 收藏 28
点赞数 28
分类专栏: Oauth2.0 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao_ying_bo_ke/article/details/139237904
版权

文章目录

背景

项目中使用security + OAuth2.0 作为用户登录鉴权,存在的问题就是token不能自动续期,如果我们自己不配置,token的默认有效期是12小时,一般情况我们会设置token的有效期,假如:设置token的有效期为1小时,用户在操作系统的时候,token到期后,在操作系统时提示token失效,用户体验很差;toekn有效时间设置过长,又不太安全,所以需要在用户操作系统时进行token续期操作

一、自定义tokenServices

  1. 通过请求打到服务上的调用链路的源码分析

FilterChainProxy类中,doFilter方法中的doFilterInternal方法,获取过所有滤器
在这里插入图片描述
这里有三组过滤器,通过请求匹配,匹配到合适的过滤器链,这里是匹配到第二个过滤器链,如果想看具体情况,自己可以debug进行源码分析
在这里插入图片描述
执行过滤器链上的过滤器,此过滤器链上有11个过滤器,分别执行,查看具体执行情况,这里就不一一演示,有兴趣的可以自己debug执行。
在这里插入图片描述
这里执行到第五个过滤器OAuth2AuthenticationProcessingFilter,我们发现这里对token进行了验证,authenticationManager.authenticate(authentication),在这个方法中获取用户的认证信息,这里是OAuth2AuthenticationManager这个类,认证管理器,这个类中有一个属性ResourceServerTokenServices,程序启动时创建OAuth2AuthenticationManager对象后,对ResourceServerTokenServices这个私有属性进行赋值,这里默认创建的对象为DefaultTokenServices在这里插入图片描述在这里插入图片描述
这里调用tokenServices的loadAuthentication()方法,获取用户认证信息,
在这里插入图片描述
在这里插入图片描述
经过这个链路的分析,我们可以判定,我们可以在这里进行token的续期操作,然而,我们要怎么做,才可以实现呢,首先重写这个loadAuthentication()方法才可以,我们通过这个方法,找到父类,我们自定义一个类:CustomTokenServices实现ResourceServerTokenServices这个接口,重写loadAuthentication()方法,我们重写这个方法,里面要怎么实现呢?经过代码分析,这里token信息是通过tokenStore(这里tokenStore的实现类我用的是redis)获取的,OAuth2AccessToken accessToken = tokenStore.readAccessToken(accessTokenValue),分析DefaultTokenServices这个类,这个类里有创建token的方法,createAccessToken()方法,这个方法里创建token后进行封装并进行存储,发现TokenStore这个接口中,提供了一个token存储的方法,见图1;思考一下,我们是不是封装好这个接口的上入参就可以通过调用这个接口进行重新设置token,对原来的token进行覆盖。我们又该如何封装这个两个参数呢?通过分析TokenStore发现,这里提供了两个方法readAccessToken()、readAuthentication(),见图2,可以通过token分别获取OAuth2AccessToken、OAuth2Authentication这两个对象,我们就可以通过请求中传进来的token获取到这两个对象,再调用图1中的方法,重新设置token的所有相关信息。我们分析图1的具体实现,这里是redis实现,可以发现,这里是设置了token相关的过期时间以及一些其他信息

图1
图1
图2
在这里插入图片描述
token存储具体实现
在这里插入图片描述
在这里插入图片描述

  1. token续期的具体实现,自定义实现类CustomTokenServices并实现ResourceServerTokenServices接口
import com.anneng.financemember.commons.Constants;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.oauth2.common.DefaultOAuth2AccessToken;
import org.springframework.security.oauth2.common.OAuth2AccessToken;
import org.springframework.security.oauth2.common.exceptions.InvalidTokenException;
import org.springframework.security.oauth2.provider.OAuth2Authentication;
import org.springframework.security.oauth2.provider.token.ResourceServerTokenServices;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.util.ObjectUtils;

import java.util.Date;

/**
 1. @Description: 自定义用户信息token服务
 **/
public class CustomTokenServices implements ResourceServerTokenServices {

    protected final Logger log = LoggerFactory.getLogger(CustomTokenServices.class);

    /**
     * token存储
     */
    private final TokenStore tokenStore;

    /**
     * token有效期 默认5小时
     */
    private int accessTokenValiditySeconds;

    private final int timeLimit = 60 * 60;


    public CustomTokenServices(TokenStore tokenStore, int accessTokenValiditySeconds) {
        this.tokenStore = tokenStore;
        this.accessTokenValiditySeconds = accessTokenValiditySeconds;
    }

    @Override
    public OAuth2Authentication loadAuthentication(String accessToken) throws AuthenticationException, InvalidTokenException {
        //获取认证信息
        OAuth2Authentication authentication = tokenStore.readAuthentication(accessToken);
        if (ObjectUtils.isEmpty(authentication)) {
            throw new InvalidTokenException("Invalid access token: " + accessToken);
        }

        //判断是否为账户密码token
        String grantType = authentication.getOAuth2Request().getGrantType();
        if (!Constants.GRANT_TYPE_PWD.equals(grantType)) {
            return authentication;
        }

        //获取token信息
        DefaultOAuth2AccessToken token = (DefaultOAuth2AccessToken) tokenStore.readAccessToken(accessToken);
        if (ObjectUtils.isEmpty(token) || token.isExpired()) {
            throw new InvalidTokenException("Invalid access token: " + accessToken);
        }
        //为了防止每次操作都进行续期,判断在小于一定时间时续期,小于一个小时时续期
        if (token.getExpiresIn() > timeLimit) {
            return authentication;
        }
        //重置token时长
        resetTokenTime(authentication, token);

        return authentication;
    }

    private void resetTokenTime(OAuth2Authentication authentication, DefaultOAuth2AccessToken token) {
        //延长token时长
        token.setExpiration(new Date(token.getExpiration().getTime() + (accessTokenValiditySeconds - token.getExpiresIn()) * 1000L));
        //刷新token时间
        tokenStore.storeAccessToken(token, authentication);
    }


    @Override
    public OAuth2AccessToken readAccessToken(String accessToken) {
        throw new UnsupportedOperationException("Not supported: read access token");
    }
}

这里我们就把整个链路分析及核心的代码实现就完成了。

二、资源服务配置

  1. 上面我们虽然实现了核心代码,但是如何让代码生效呢?那就要把请求链路中的默认创建的DefaultTokenServices对象,替换为我们自定义的类CustomTokenServices,改如何替换呢?
    通过源码分析,找到ResourceServerConfiguration配置类,发现图3中对ResourceServerTokenServices进行了处理,进入到方法中发现:这里会获取spring容器中注入的ResourceServerTokenServices实现类,如果有则设置进去,如果没有则不设置;我们继续debug,发现后面对ResourceServerTokenServices进行了设置,我们debug到ResourceServerSecurityConfigurer这个类的configure()方法,如图4,在继续debug,直到图5我们发现,这里对resourceTokenServices进行了赋值,如果resourceTokenServices,则默认创建DefaultTokenServices,看到这里就全都明白了,所以需要我们把我们自定义的类注入的Spring容器中,让项目启动时在能获取到ResourceServerTokenServices的实现类,那就不会走创建DefaultTokenServices这一步,那么后续拿到的ResourceServerTokenServices的实现类就是我们自定义的。
    图3
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

图4
在这里插入图片描述
图5
在这里插入图片描述
这里可以发现图5中resourceTokenServices为null,这里我们对我们自定义的类进行Spring容器管理

  1. 对资源服务配置修改
    原来的实现
package com.anneng.financemember.config;

import com.anneng.financemember.oauth.CustomTokenServices;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.ResourceServerTokenServices;
import org.springframework.security.oauth2.provider.token.TokenStore;


@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Autowired
    private TokenStore tokenStore;

    /**
     * 白名单
     */
    @Value("${token.white-list}")
    private String[] whiteList;
    /**
     * token过期时间
     */
    @Value("${token.validity-seconds:18000}")
    private int validitySeconds;

    /**
     * 安全策略配置
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers(whiteList).permitAll()
                .anyRequest().authenticated()
                .and()
                .headers().addHeaderWriter((request, response) -> {
                    response.addHeader("Access-Control-Allow-Origin", "*");//允许跨域
                    if (request.getMethod().equals("OPTIONS")) {//如果是跨域的预检请求,则原封不动向下传达请求头信息
                        response.setHeader("Access-Control-Allow-Methods", request.getHeader("Access-Control-Request-Method"));
                        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
                    }
                });
    }

    /**
     * 资源服务器安全策略配置
     * @param resources configurer for the resource server
     */
    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.tokenStore(tokenStore).resourceId("product_api");
    }

}

修改后

package com.anneng.financemember.config;

import com.anneng.financemember.oauth.CustomTokenServices;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.ResourceServerTokenServices;
import org.springframework.security.oauth2.provider.token.TokenStore;

/**
 *
 **/
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Autowired
    private TokenStore tokenStore;

    /**
     * 白名单
     */
    @Value("${token.white-list}")
    private String[] whiteList;
    /**
     * token过期时间
     */
    @Value("${token.validity-seconds:18000}")
    private int validitySeconds;

    /**
     * 安全策略配置
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers(whiteList).permitAll()
                .anyRequest().authenticated()
                .and()
                .headers().addHeaderWriter((request, response) -> {
                    response.addHeader("Access-Control-Allow-Origin", "*");//允许跨域
                    if (request.getMethod().equals("OPTIONS")) {//如果是跨域的预检请求,则原封不动向下传达请求头信息
                        response.setHeader("Access-Control-Allow-Methods", request.getHeader("Access-Control-Request-Method"));
                        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
                    }
                });
    }

    /**
     * 资源服务器安全策略配置
     * @param resources configurer for the resource server
     */
    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.tokenStore(tokenStore).resourceId("product_api");
    }



    @Bean
    public ResourceServerTokenServices ResourceServerTokenServices() {
        return new CustomTokenServices(tokenStore, validitySeconds);
    }
}

我们启动项目debug到图5的位置
在这里插入图片描述
这里我们发现已经把我们自定义的CustomTokenServices 已经注入到Spring容器中,好了到这里结束了。代码很简单,但是整个链路分析起来就很费时费力,有什么问题可以评论留言。

火炎焱小码哥
关注
  • 28
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Oauth2 accessToken访问令牌续期 不生成新accessToken
xuexishaguo的博客
01-16 2273
//accessToken访问令牌 续期 用户每进行一次业务操作,访问令牌过期时间往后延续20分钟 //accessToken从Authorization请求头中获取 OAuth2AccessToken oAuth2AccessToken = tokenServices.readAccessToken(accessToken); //根据oAuth2AccessToken 从redis中 ...
JWT token过期后自动续期的解决方案
leeta的博客
08-20 3432
在文中给出的例子中,仅实现了登录认证,但是并没有设置token的过期时间,在实际应用中,token一般都需要设置过期时间。 如何设置token的过期时间 前文《Java面试常见问题:JWT是什么?》介绍过,JWT token的payload部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。 JWT标准里面定义的标准claim包括: iss(Issuser):JWT的签发主体; sub(Subject):JWT的所有者; aud(Audience):JWT的接..
聊聊 OAuth 2.0 的 Token 续期处理
冷冷的博客
06-08 3927
Token 校验逻辑 // CheckTokenEndpoint.checkToken @RequestMapping(value = "/oauth/check_token") @ResponseBody public Map<String, ?> checkToken(@RequestParam("token") String value) { // 根据 token 查询保存在 tokenStore 的令牌全部信息 OAuth2Ac
自定义的方式,使用oauth2生成token+token续命
m0_56356631的博客
05-14 5723
使用oauth2生成 token 的流程+续命
2024年最新SpringSecurityOAuth2实战(配源码),数据库配置,JWT Token时间设置,公共客户端的实践总结
最新发布
07-10 506
refresh_token的时间要比access_token的时间长,但一定要大于60秒。因为OAuth2Client程序会判断,会提前60秒进行refresh token。就会使用refresh_token重新获取。数据库配置好后,Spring会构建一个JdbcTemplate到容器中。reuseRefreshToken=true的话,refresh_token会被多次使用。OAuth2 配置数据库,把client信息和token信息保存到数据库中,以免宕机重启后token失效。
在security oauth2 中给token续期
07-23 1714
//在security oauth2 中给token续期 //将RedisTokenStore.java 复制一份更改readAuthentication 方法 //在授权服务器endpoints.tokenStore(new RedisTokenStore(redisConnectionFactory)) 注入更改的RedisTokenStore @Override public OAuth2Authentication readAuthentication(OAuth2AccessToken
Token方案实现Token自动续期(基于springboot+vue前后端分离项目)
qq_44286009的博客
06-10 1980
jwt理论介绍springboot+vue项目中使用jwt实现登录认证本篇文章的代码是在springboot+vue项目中使用jwt实现登录认证的基础上实现的Token自动续期的功能。双token解决方案是一种用于增强用户登录安全性和提升用户体验的认证机制。它主要涉及两个令牌:访问令牌(accessToken)和刷新令牌(refreshToken)。
彻底解决spring security oauth2 自动续签token问题
weixin_44330810的博客
12-28 4536
彻底解决spring security oauth2 自动续签token问题
spring-cloud-starter-oauth2 token自动续签
真的愿意去努力,人生最坏的结果,也不过是大器晚成。
11-28 1604
需求: 希望用户的token失效不是由登录后开始计时,而是在用户超时未请求后失效(不使用refresh_token模式),也就是要在用户每次请求后去重置token的有效期。 实现方案:网关gateway实现 ResourceServerConfiguration.java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.cloud.context.config.annotati
OAuth2.0学习(1-8) 授权方式五之Access_Token令牌过期更新
weixin_34409822的博客
06-02 1214
OAuth2.0的Access_Token令牌过期更新 如果用户访问的时候,客户端的"访问令牌"已经过期,则需要使用"更新令牌"申请一个新的访问令牌。 客户端发出更新令牌的HTTP请求,包含以下参数: granttype:表示使用的授权模式,此处的值固定为"refreshtoken",必选项。 refresh_token:表示早前收到的更新令牌,必选项。 scope:表示申请的授权范围,不可以超...
Spring Security Oauth2 token 续期
FunnyWhiteCat的博客
06-21 2287
Spring Security Oauth2 token 续期
OAuth2.0协议中文版.pdf
03-27
OAuth2.0OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
oauth2.0.zip_oauth2.0
09-20
这个压缩包文件"oauth2.0.zip_oauth2.0"包含了深入理解OAuth 2.0的基础知识,特别是针对初学者的入门介绍。其中的"oauth2.0.pdf"文档很可能是详细阐述OAuth 2.0概念、工作流程和实际应用的教程。 OAuth 2.0的核心...
webapi基于Owin中间件的oauth2.0身份认证
10-07
**OAuth2.0简介** OAuth2.0是一种授权框架,广泛应用于Web API的身份验证和授权。它允许第三方应用在用户授权的情况下,访问该用户的特定资源,而无需获取用户的用户名和密码。OAuth2.0的核心是将认证和授权分离,...
shopify-token:轻松获取Shopify API的OAuth 2.0访问令牌
04-27
安装npm install --save shopify-token原料药该模块导出一个类,该类的构造函数带有一个options对象。new ShopifyToken(options) 创建一个新的ShopifyToken实例。争论options一个普通JavaScript对象,例如{ apiKey: ...
cloud-oauth2 redisToken 后端自动刷新续签
qq_38292546的博客
10-28 1408
我想要的效果是:只要用户在access_token有效期间内访问网站,就重置access_token的过期时间;而不是在access_token失效后,再通过refresh_token自动的刷新凭证。 因为感觉refresh_token自动刷新逻辑上很矛盾,明明access_token已经过期了,这时再自动刷新access_token的过期时间,那么access_token的过期时间还有什么意义吗?所以在需要时由客户端主动刷新access_token比较好。欢迎大家讨论 参考了网上的文章 https://
Springsecurity Oauth2 设置token的过期时间
热门推荐
qq_44605317的博客
06-17 2万+
1.设置token的过期时间 如果我们是从数据库来读取客户端信息的话 我们只需要在数据库设置token的过期时间 client_id:客户端的id resource_ids:资源服务器的id,多个用,(逗号)隔开 client_secret:客户端的秘钥 authorized_grant_types: ...
OAuth2.0刷新Token,正在操作时,Token不过期
般若
06-17 5802
文件名称 版本号 作者 qq 版本 OAuth2.0刷新Token v1.0.0 学生宫布 8416837 SpringBoot 2.2.6SpringCloud Hoxton.SR4 文章目录需求假设你已经搭建好OAuth2.0服务器解决办法1)定时器2)请求拦截式,每次请求权限接口都判断是否可以刷新Token了 需求 保证页面不会在正在操作中却弹出Token过期,这样体验不好。除非好久(设定的阈值)没有操作页面了,显示已过期才合理。 假设你已经搭建好OAuth2.0服务器 登录...
oauth2.0 token校验逻辑
04-22
Oauth2.0 token校验逻辑是指在调用API时,通过验证用户授权的Token来确定用户身份和权限的过程。一般来说,这个过程包含以下几个步骤: 1. 客户端请求授权:用户使用客户端(比如浏览器或移动应用程序)向OAuth2服务器请求授权。 2. 获取授权码:OAuth2服务器向用户返回授权码。 3. 获取Token:客户端通过授权码向OAuth2服务器请求Token。 4. 检查Token:客户端在访问API时,将Token附加到请求中,API服务器通过验证Token来确定用户身份和权限。 5. 刷新TokenToken有时限,如果Token过期,客户端需要向OAuth2服务器请求新的Token。 以上是OAuth2.0 token校验逻辑的基本过程,不同的OAuth2.0实现可能会有所不同。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值