Spring Security Oauth2 如何鉴别Token是否有效

最新推荐文章于 2023-12-11 18:41:59 发布
最新推荐文章于 2023-12-11 18:41:59 发布
阅读量1.4w 收藏 13
点赞数 2
分类专栏: Java Spring Security 文章标签: Spring Security Oauth2 Token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zimou5581/article/details/101051416
版权
本文探讨了在Spring Security Oauth2 2.3.5.RELEASE及Spring Boot 2.1.3环境下,如何鉴别Token的有效性。文章提到了Spring Security的过滤器链机制,并指出在OAuth2请求时,特定的过滤器链会处理这些请求。在分析日志和debug过程中,作者发现存在多个Token实例和授权问题。最终建议,直接使用Spring Security的相关API或手动检查来验证Token有效性是最直接的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

版本

Spring Security Oauth2 : 2.3.5.RELEASE
Spring Boot 2.1.3
Spring Boot Starter: 2.1.3.RELEASE

解决思路

Spring Security 的两大功能认证鉴权,通过FilterChain(过滤器链)实现的,不同的请求经过不同的过滤器链。
Spring Security Oauth2 增加了拓展的过滤器链。
先观察整合Spring Security Oauth2 之后的一部分启动日志

o.s.s.web.DefaultSecurityFilterChain     : 
Creating filter chain: ----------------------------->【第一个过滤器链】
OrRequestMatcher [ 
    requestMatchers=[
        Ant [pattern='/oauth/token'],
        Ant [pattern='/oauth/token_key'], 
        Ant [pattern='/oauth/check_token']
    ]
], 
[
    org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@7e135a13, // 根据请求封装获取WebAsyncManager并注册
    org.springframework.security.web.context.SecurityContextPersistenceFilter@141c12a4, // 操作httpsession:有则加载 空则设置,SecurityContext的.set.clear
    org.springframework.security.web.header.HeaderWriterFilter@540abee6, // 请求头中添加相应信息
    org.springframework.security.web.authentication.logout.LogoutFilter@3aa062db,
    org.springframework.security.web.authentication.www.BasicAuthenticationFilter@3a2f0144, 
    org...security.web.savedrequest.RequestCacheAwareFilter@7c2ac578, // 内部维护了一个RequestCache,用于缓存HttpServletRequest
    org...security.web.servletapi.SecurityContextHolderAwareRequestFilter@6972facd, // 对ServletRequest进行了一次包装,+更加丰富的API 
    org...security.web.authentication.AnonymousAuthenticationFilter@4ee626ed, // 创建一个匿名用户存入到SecurityContextHolder 
    org...security.web.session.SessionManagementFilter@40c10fab, // 限制会话数量, session管理
    org...security.web.access.ExceptionTranslationFilter@2828c6c1, // 处理FilterSecurityInterceptor抛出的异常
    org...security.web.access.intercept.FilterSecurityInterceptor@19eadc0f // 获取权限信息调用manager鉴权
]
edFilterInvocationSecurityMetadataSource : Adding web access control expression 'permitAll', for ExactUrl [processUrl='/login?error']
edFilterInvocationSecurityMetadataSource : Adding web access control expression 'permitAll', for ExactUrl [processUrl='/login']
edFilterInvocationSecurityMetadataSource : Adding web access control expression 'permitAll', for ExactUrl [processUrl='/login']
edFilterInvocationSecurityMetadataSource : Adding web access control expression 'permitAll', for OrRequestMatcher [requestMatchers=[Ant [pattern='/my/logout', GET], Ant [pattern='/my/logout', POST], Ant [pattern='/my/logout', PUT], Ant [pattern='/my/logout', DELETE]]]
edFilterInvocationSecurityMetadataSource : Adding web
最低0.47元/天 解锁文章
通过HTTP接口验证Spring Security OAuth2token有效
甘蓝的专栏
12-25 2498
通过HTTP接口验证Spring Security OAuth2token有效
Spring Cloud 微服务安全:OAuth2 + JWT 实现认证与授权
最新发布
Java技术栈实战开发的博客
04-10 504
随着微服务架构的普及,服务拆分带来的分布式特性对安全体系提出了更高要求。传统单体应用的认证授权模式(如 Session-Cookie)难以适应跨服务、跨平台的安全需求。如何实现微服务间的统一身份认证?如何通过开放标准协议(OAuth2)实现第三方接入安全?如何利用 JWT(JSON Web Token)实现无状态令牌管理?如何在 Spring Cloud 生态中整合认证服务与资源服务?核心概念:解析 OAuth2 协议与 JWT 技术的原理及结合点架构设计。
SprintBoot Security 数据库验证请求token是否有效
℡メ㏑╭ァ小凯
04-16 1238
0、思路 1、jwt生成token是永久的,每次登陆的时候需要把token存数据库,所以需要拦截每次请求带过来的token是否在数据库里面。 2验证之前需要过滤掉哪些不需要校验的url地址,避免duird和swg等这样的地址也走数据验证权限了 1、定义权限验证功能类 package com.java.core.core.security; import java.io.IOException; import java.util.Date; import j...
3.Spring Security实现JWT token验证,GrantedAuthority接口,权限注解(@prePostEnabled、@Secured、@jsr250E)
相互学习 共同进步
04-24 4300
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
token过滤器 验证token有效
qq_45718545的博客
12-11 519
token过滤器 验证token有效性。
OAuth2.0资源服务器之校验Token配置
北辰
09-06 2958
资源服务器在获取到了客户端发送过来的token后,做的第一件事情就是校验该token的真伪性,如果token校验不通过,则不允许调用对应的接口。 当前Spring Cloud与OAth2.0整合的版本依赖为: <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId>
Spring Security OAuth过期的解决方法
09-07
如描述中提到,Spring Security OAuth项目已被逐步弃用,取而代之的是Spring Security 5.x中的OAuth2支持。因此,应当选择Spring Security的核心模块,而不是单独的Spring Security OAuth依赖。 3. **利用Spring ...
Spring Security OAuth2 实现登录互踢的示例代码
08-19
Spring Security OAuth2 实现登录互踢的示例代码 Spring Security OAuth2 是一个基于 OAuth2 协议的身份验证框架,提供了丰富的身份验证机制和授权机制。本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例...
spring security oauth2.0 (讲义+代码)
03-10
通过实现`OAuth2AccessDecisionManager` 和 `OAuth2AuthenticationManager`,我们可以基于用户角色、权限或者自定义逻辑来决定是否允许访问资源。 在实际项目中,我们还需要考虑安全性问题,比如防止CSRF攻击,这...
基于springboot +oauth2+securityJwt实现token校验,接口访问权限控制
u010290208的博客
05-19 1524
在管理后台的开发中经常需要对用户授权及权限控制,用户登录后,需要对用户拥有的角色来判断能够访问的资源。首选简单创建5张表来存储用户、角色、资源表及用户-角色、角色-资源的关联表。最后就是在登录方法中通过令牌来生成JWT的token放回给前端。统一对登录后的token校验以及注解式的角色权限控制。创建一个适配器,来配置哪些接口需要鉴权,鉴权的方式。来表示只有角色是admin的才能访问该接口。登录后访问其他接口时的token校验。自定义用户登录时查询用户角色的方法。自定义身份验证,并生成令牌。
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 18万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
Oauth2设置令牌过期时间accessTokenValiditySeconds,在代码中怎么判断是否过期
qq_37795502的博客
09-07 9029
我们再配置ouath2的时候都会配置资源认证的服务器 其中在配置授权服务器断点时会配置令牌的存储:tokenStore(tokenStore) ,这个令牌存储中会存令牌的过期时间,cliend_id,name等信息,一般默认使用InMemoryTokenStore()存储。我们可以在AuthorizationServerEndpointsConfigurer类中查看区别判断token的存储代码逻辑 有了上面的前提后,我们直接在AuthorizationServerEndpointsConfigure
spring security OAuth2AuthenticationProcessingFilter的token认证流程解析
a807719447的专栏
11-19 1937
在ResourceServer中需要对token进行校验需要走如下过滤器,我们来分析下token校验的认证过程是什么样的 OAuth2AuthenticationProcessingFilter.doFilter public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { final boolean debug = l
网关过滤器验证token
qq_44805645的博客
03-01 695
登录Token验证 配置全局
[6] OAuth2AuthenticationProcessingFilter之Bearer Token验证流程
既无风雨也无晴
03-19 3万+
OAuth2AuthenticationProcessingFilter 简介 我们通过Spring Security的认证服务获取Access Token之后就可以用于请求资源服务(业务系统)的接口了。我们需要把特定的信息放到请求头中,例如在请求头中写入Authorization: Bearer !xBYUEBY0N3o234N,Authorization为key,Bearer !xBYUEBY...
jwt判断token是否过期_SpringSecurity代码实现JWT接口权限授予与校验
weixin_39907658的博客
11-21 2450
通过笔者前两篇文章的说明,相信大家已经知道JWT是什么,怎么用,该如何结合Spring Security使用。那么本节就用代码来具体的实现一下JWT登录认证及鉴权的流程。一、环境准备工作建立Spring Boot项目并集成了Spring Security,项目可以正常启动 通过controller写一个HTTP的GET方法服务接口,比如:“/hello” 实现最基本的动态数据验证及权限分配,即实现...
SpringBoot 整合 oauth2(三)实现 token 认证
weixin_34067102的博客
05-14 1301
关于session和token的使用,网上争议一直很大。 总的来说争议在这里: session是空间换时间,而token是时间换空间。session占用空间,但是可以管理过期时间,token管理部了过期时间,但是不占用空间. sessionId失效问题和token内包含。 session基于cookie...
SpringSecurityOauth2 - Token校验逻辑,以及认证对象如何存到Security上下文中的(RemoteTokenServices)
m0_54554770的博客
11-25 939
SpringSecurityOauthToken校验逻辑 以及 认证对象是如何存到SpringSecurity的上下文中的(RemoteTokenServices)
jwt判断token是否过期_mall整合SpringSecurity和JWT实现认证和授权(一)
weixin_39942492的博客
11-21 2709
本文主要讲解mall通过整合SpringSecurity和JWT实现后台用户的登录和授权功能,同时改造Swagger-UI的配置使其可以自动记住登录令牌进行发送。SpringBoot实战电商项目mall(25k+star)地址:https://github.com/macrozheng/mall项目使用框架介绍SpringSecurity SpringSecurity是一个强大的可高度定制的认证和...
SpringSecurity OAuth2集成及Redis Token分发解决方案
资源摘要信息: "OAuth2SpringSecurity集成安全框架实现与Redis令牌分发机制" OAuth2SpringSecurity是当今流行的Java安全框架和技术标准,广泛应用于Web应用程序的权限管理和用户认证授权。本资源摘要将详细介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值