Oauth2使用redisTokenStore实现单点登录,多点登陆

最新推荐文章于 2024-04-10 23:15:51 发布
最新推荐文章于 2024-04-10 23:15:51 发布
阅读量3.2k 收藏 10
点赞数 3
分类专栏: java 文章标签: java Oauth2 JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zps925458125/article/details/108395610
版权

前言:
最近开发认证服务的时候,发现使用redisTokenStore之后,多点登陆获取到的token跟第一次获取到的相同;不满足单点登录需求;故写此文章记录处理方法

1.追踪源码,搜寻资料;TokenService默认实现为DefaultTokenServices;查看源代码发现,DefaultTokenServices类的createAccessToken方法是创建token的;这里他创建之前,会根据OAuth2Authentication 去tokenStore中获取存储的token。由于同一个用户的OAuth2Authentication 的内容是相同的,故多次登录,从redis中取的token都是相同的;如果获取到了存在的token则会返回获取到的,否则才会重新创建;

DefaultTokenServices类

// DefaultTokenServices类中的创建token方法
public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {
 3                 //从redis中获取登陆信息
 4         OAuth2AccessToken existingAccessToken = tokenStore.getAccessToken(authentication);
 5         OAuth2RefreshToken refreshToken = null;
 6         if (existingAccessToken != null) {
 7             if (existingAccessToken.isExpired()) {
 8                 if (existingAccessToken.getRefreshToken() != null) {
 9                     refreshToken = existingAccessToken.getRefreshToken();
10                     // The token store could remove the refresh token when the
11                     // access token is removed, but we want to
12                     // be sure...
13                     tokenStore.removeRefreshToken(refreshToken);
14                 }
15                 tokenStore.removeAccessToken(existingAccessToken);
16             }
17             else {
18                 // Re-store the access token in case the authentication has changed
19                 tokenStore.storeAccessToken(existingAccessToken, authentication);
20                 return existingAccessToken;
21             }
22         }
23 
29         if (refreshToken == null) {
30             refreshToken = createRefreshToken(authentication);
31         }
34         else if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
35             ExpiringOAuth2RefreshToken expiring = (ExpiringOAuth2RefreshToken) refreshToken;
36             if (System.currentTimeMillis() > expiring.getExpiration().getTime()) {
37                 refreshToken = createRefreshToken(authentication);
38             }
39         }
40 
41         OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);
42         tokenStore.storeAccessToken(accessToken, authentication);
44         refreshToken = accessToken.getRefreshToken();
45         if (refreshToken != null) {
46             tokenStore.storeRefreshToken(refreshToken, authentication);
47         }
48         return accessToken;
49 
50     }

RedisTokenStore中的获取存储在redis中的方法

@Override
 2     public OAuth2AccessToken getAccessToken(OAuth2Authentication authentication) {
 5         String key = authenticationKeyGenerator.extractKey(authentication);
 6         byte[] serializedKey = serializeKey(AUTH_TO_ACCESS + key);
 7         byte[] bytes = null;
 8         RedisConnection conn = getConnection();
 9         try {
10             bytes = conn.get(serializedKey);
11         } finally {
12             conn.close();
13         }
14         OAuth2AccessToken accessToken = deserializeAccessToken(bytes);
15         if (accessToken != null) {
16             OAuth2Authentication storedAuthentication = readAuthentication(accessToken.getValue());
17             if ((storedAuthentication == null || !key.equals(authenticationKeyGenerator.extractKey(storedAuthentication)))) {
21                 storeAccessToken(accessToken, authentication);
22             }
23 
24         }
25         return accessToken;
26     }

要实现的功能如下:

  • 同已用户每次获取token,获取到的都是同一个token,只有token失效后才会获取新token。
  • 同一用户每次获取token都生成一个完成周期的token并且保证每次生成的token都能够使用(多点登录)。
  • 同一用户每次获取token都保证只有最后一个token能够使用,之前的token都设为无效(单点token)。
    解决思路
    1.要重写RedisTokenStore中获取key的方式,即重写RedisTokenStore中的authenticationKeyGenerator对象的extractKey方法,使同一用户获取多次的Key值不同;
String key = authenticationKeyGenerator.extractKey(authentication);

借鉴一下网上一位老哥的改造代码

1.创建新类继承DefaultAuthenticationKeyGenerator ,重写extractKey方法

public class MyAuthenticationKeyGenerator extends DefaultAuthenticationKeyGenerator {
 2 
 3     private static final String CLIENT_ID = "client_id";
 4 
 5     private static final String SCOPE = "scope";
 6 
 7     private static final String USERNAME = "username";
 8 
 9     @Override
10     public String extractKey(OAuth2Authentication authentication) {
11         Map<String, String> values = new LinkedHashMap<String, String>();
12         OAuth2Request authorizationRequest = authentication.getOAuth2Request();
13         if (!authentication.isClientOnly()) {
14             //在用户名后面添加时间戳,使每次的key都不一样
15             values.put(USERNAME, authentication.getName()+System.currentTimeMillis());
16         }
17         values.put(CLIENT_ID, authorizationRequest.getClientId());
18         if (authorizationRequest.getScope() != null) {
19             values.put(SCOPE, OAuth2Utils.formatParameterList(new TreeSet<String>(authorizationRequest.getScope())));
20         }
21         return generateKey(values);
22     }
23 }

2.将新的Key生成器载入RedisTokenStore

@Configuration
public class MyTokenStoreConfig {
    @Autowired
    private RedisConnectionFactory redisConnectionFactory;

    @Bean
    public TokenStore tokenStore() {
        RedisTokenStore redisTokenStore = new RedisTokenStore(redisConnectionFactory);
        redisTokenStore.setAuthenticationKeyGenerator(new MyAuthenticationKeyGenerator());
        }
        return redisTokenStore;
    }
}

参考地址:https://blog.csdn.net/gangsijay888/article/details/81977796
https://www.cnblogs.com/cq-yangzhou/p/13207069.html

干饭两斤半
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
基于oauth2+security实现的SSO单点登录案例
10-14
基于spring security oauth2 实现的SSO单点登录案例,本案例非常完整,值得用于参考学习spring+security+oauth2
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo包含服务端和客户端,可直接运行测试。
详解springSecurity之令牌存储TokenStore实现的4种方式
最新发布
m0_74931167的博客
04-10 390
这份面试题几乎包含了他在一年内遇到的所有面试题以及答案,甚至包括面试中的细节对话以及语录,可谓是细节到极致,甚至简历优化和怎么投简历更容易得到面试机会也包括在内!也包括教你怎么去获得一些大厂,比如阿里,腾讯的内推名额!某位名人说过成功是靠99%的汗水和1%的机遇得到的,而你想获得那1%的机遇你首先就得付出99%的汗水!你只有朝着你的目标一步一步坚持不懈的走下去你才能有机会获得成功!成功只会留给那些有准备的人!一个人可以走的很快,但一群人才能走的更远。
OAuth2+ SSO实现单点登录
07-18
OAuth2+ SSO实现单点登录,包括源码 看别人写的代码好像很简单似,到自己写的时候就各种问题,“一看就会,一做就错”。网上关于实现SSO的文章一大堆,但是当你真的照着写的时候就会发现根本不是那么回事儿,简直让人抓狂,尤其是对于我这样的菜鸟。几经曲折,终于搞定了,决定记录下来,以便后续查看
RedisTokenStore.zip
07-01
自定义了oauth2中的redisTokenStore 此代码解决了redis中client_id_to_access数据膨胀问题,并且加入了AccessToken的自动续期功能
(六)OAuth 2.0 RedisTokenStore
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 2924
Maven依赖 <!--redis 依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> 授权服务器(Authoriz
Spring Security OAuth2 使用Redis存储token键值详解
OceanSky的专栏
07-27 2万+
1.Spring Security OAuth2存储token值的方式由多种,所有的实现方式都是实现TokenStore接口 InMemoryTokenStore:token存储在本机的内存之中 JdbcTokenStore:token存储在数据库之中 JwtTokenStore:token不会存储到任何介质中 RedisTokenStore:token存储在Redis数据库之中 2.看下R...
Spring Security OAuth2 RedisTokenStoreJwtTokenStore
wangooo的博客
02-24 2173
区别 JWTTokenStore RedisTokenStore token信息,认证信息封装在JWT负载中 token信息,认证信息保存在Redis服务 token为加密的JWT负载 token为随机redis key 通过解密token获取用户认证信息 通过认证服务器校验token获取用户认证信息 优缺点 JWTTokenSt
OAuth2 + Security保护服务 基于 RedisTokenStore
lzq199528的博客
04-29 3859
antMatchers(HttpMethod.OPTIONS,"/**").permitAll() 放过OPTIONS请求 创建auth2-server服务 配置文件 spring: application: name: auth2-server #redis配置数据 redis: hostName: 117.73.8.227 port: 6379 da...
使用Spring Security OAuth2实现单点登录
08-25
在本教程中,我们将讨论如何使用Spring Security OAuth和Spring Boot实现SSO - 单点登录。感兴趣的朋友跟随小编一起看看吧
springboot+oauth2单点登录.rar
04-13
springboot2.0+oauth搭建的SSO单点登录的源码,仅仅实现登录功能,无需积分即可下载,如有问题请留言
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
Spring Security Oauth2:RedisTokenStore(一)之Token内容揭秘
热门推荐
既无风雨也无晴
04-10 4万+
Spring Security Oauth2 之RedisTokenStore Spring Security Oauth2 存储Token的方式有多种
SpringSecurity(二十二)--OAuth2:实现资源服务器(下)通过redis和缓存实现TokenStore
学习不止境的博客
12-02 2810
本章将在前面几章基础上进行讲解,所以大家最好尽量先去看一下前几章的内容再来跟进会好很多。那么本章我们将通过redis和本地缓存Caffeine对JdbcTokenStore进行重写,并且讲解资源服务器配置的新方案,使得我们可以不用在资源服务器又配置一个和授权服务器一样的tokenStore. 我们上一章实现了JdbcTokenStore,那么大家都知道,redis的速度是肯定的比普通的数据库是要快的,且JdbcTokenStore实在是有点难拓展,尤其涉及到表结构的更改,所以选择使用RedisTokenS
Spring Cloud进阶之路 | 二十:授权服务(Spring Cloud Oauth2)TokenStoreRedisTokenStore
银河架构师的博客
02-19 2090
​前言 上一篇文章Spring Cloud进阶之路 | 十九:授权服务(Spring Cloud Oauth2)TokenStore之JdbcTokenStore中,介绍了如何配置JdbcTokenStore,将token等信息存储在数据库中。数据库有其限制性,一旦数据量过大,那么新增、更新、查询等操作的速率将会大幅下降,这时,就需要缓存支持,框架为我们提供了Redis存储方式,即Redi...
五分钟带你玩转oauth2(十五)重写源码,自定义RedisTokenStore进行token单点登录的续期
小鲍侃java
02-03 2928
当涉及到token时面临了一个问题,就是token续期,在单点登录的环境中,登录用户因为可能访问第三方系统产生多个token,楼主的解决方式是判断同一个ip下,同一个用户,相同类型浏览器的token同时续 1.复制spring security提供的RedisTokenStore 2.修改readAuthentication方法,在验证token时会调用这个方法。 public class CustomRedisTokenStore implements TokenStore { @A.
SPRINGSECURITY-OAUTH2之TOKENSTORE
mituan1234567的专栏
11-05 295
Springsecurity-oauth2之TokenStore - database- - 博客园 它就是用来保存token(封装在OAuth2AccessToken中) TokenStore实现类 1>InMemoryTokenStore  默认保存 ,把Token 存在内存中 2>JdbcTokenStore  把access_token存在数据库中 3>JwkTokenStore  将 access_token 保存到 JSON Web Key 4>JwtTok
Spring Security OAuth2的RedisTokenStoreJwtTokenStore
qq_38719011的博客
07-18 8230
个人感觉啊Spring Security OAuth2功能很强大、但是如果要做改动的话就需要好好研究研究了、OAuth2有好几种授权模式里、我最常用的也就是password模式、授权码模式略微复杂、没咋研究过、而且感觉这个框架只使用网站的时候使用授权码方式对第三方系统进行授权是最简单的、要不感觉就需要深入研究了、最主要的还是根据需求来做决定、一般用户这块无非就是以下几种关系 同一用户(任何端)可...
oauth2 认证服务器 资源服务器分离 使用Redis存储Token
BananaNo2的博客
11-21 171
Spring boot 版本 2.0.3.RELEASESpring Cloud 版本 Finchley.RELEASE// 不使用Spring Cloud 可以不引入相关配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

干饭两斤半

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值