SpringSecurity的TokenStore四种实现方式小结

更新时间：2024年01月30日 09:50:56 作者：Javaesandyou

本文主要介绍了SpringSecurity的TokenStore四种实现方式小结,分别是InMemoryTokenStore,JdbcTokenStore,JwkTokenStore,RedisTokenStore,具有一定的参考价值,感兴趣的可以了解一下

什么是Token Store

在Web开发中，Token Store 通常用于存储用户身份验证令牌（Tokens），例如 JSON Web Tokens (JWT) 或其他形式的令牌。这些令牌可以用于验证用户身份，实现用户会话管理以及访问控制。

一种简单的Token Store示例，使用Node.js和Express框架以及一个基于内存的Token存储方式：

const express = require('express');
const jwt = require('jsonwebtoken');

const app = express();
app.use(express.json());

// In-memory Token Store
const tokenStore = {};

// Secret key for JWT (replace with a strong, secret key in production)
const secretKey = 'your_secret_key';

// Middleware to verify JWT
function verifyToken(req, res, next) {
    const token = req.headers.authorization;

    if (!token) {
        return res.status(403).json({ message: 'No token provided' });
    }

    jwt.verify(token, secretKey, (err, decoded) => {
        if (err) {
            return res.status(401).json({ message: 'Failed to authenticate token' });
        }

        req.user = decoded;
        next();
    });
}

// Endpoint to generate and return a JWT
app.post('/login', (req, res) => {
    const { username, password } = req.body;

    // Authenticate user (replace with your actual authentication logic)
    // For simplicity, assume any username and password combination is valid
    const user = { username, role: 'user' };

    // Generate a JWT
    const token = jwt.sign(user, secretKey, { expiresIn: '1h' });

    // Store the token in memory
    tokenStore[token] = user;

    res.json({ token });
});

// Protected endpoint that requires a valid JWT for access
app.get('/protected', verifyToken, (req, res) => {
    res.json({ message: 'This is a protected endpoint', user: req.user });
});

// Start the server
const port = 3000;
app.listen(port, () => {
    console.log(`Server is running on http://localhost:${port}`);
});

Spring Security 提供了几个常见的 TokenStore 实现，包括内存中存储、JDBC 数据库存储和基于 JWT（JSON Web Token）的存储。下面将分别介绍这三种实现方式，并提供基本的代码示例。

1. 内存中存储（In-Memory）

这个是OAuth2默认采用的实现方式。在单服务上可以体现出很好特效（即并发量不大，并且它在失败的时候不会进行备份），大多项目都可以采用此方法。根据名字就知道了，是存储在内存中，毕竟存在内存，而不是磁盘中，调试简易。但是，实际中很少使用，因为没有持久化，会导致数据丢失。

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Bean
    public TokenStore inMemoryTokenStore() {
        return new InMemoryTokenStore();
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients
            .inMemory()
            .withClient("client")
            .secret("{noop}secret")  // 使用 "{noop}" 表示不加密
            .authorizedGrantTypes("password", "authorization_code", "refresh_token")
            .scopes("read", "write")
            .accessTokenValiditySeconds(3600)
            .refreshTokenValiditySeconds(86400);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
            .tokenStore(inMemoryTokenStore())
            .authenticationManager(authenticationManager);
    }
}

2. JDBC 数据库存储

这个是基于JDBC的实现，令牌（Access Token）会保存到数据库。这个方式，可以在多个服务之间实现令牌共享。因为是保存到数据库，而且是必须有OAuth2默认的表结构：oauth_access_token。

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;
    
    @Autowired
    private DataSource dataSource;

    @Bean
    public TokenStore jdbcTokenStore() {
        return new JdbcTokenStore(dataSource);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients
            .jdbc(dataSource);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
            .tokenStore(jdbcTokenStore())
            .authenticationManager(authenticationManager);
    }
}

3. 基于 JWT 的存储

jwt全称 JSON Web Token。这个实现方式不用管如何进行存储（内存或磁盘），因为它可以把相关信息数据编码存放在令牌里。JwtTokenStore 不会保存任何数据，但是它在转换令牌值以及授权信息方面与 DefaultTokenServices 所扮演的角色是一样的。

既然jwt是将信息存放在令牌中，那么就得考虑其安全性，因此，OAuth2提供了JwtAccessTokenConverter实现，添加jwtSigningKey，以此生成秘钥，以此进行签名，只有jwtSigningKey才能获取信息。

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Value("${security.jwt.client-id}")
    private String clientId;

    @Value("${security.jwt.client-secret}")
    private String clientSecret;

    @Value("${security.jwt.grant-type}")
    private String grantType;

    @Value("${security.jwt.scope-read}")
    private String scopeRead;

    @Value("${security.jwt.scope-write}")
    private String scopeWrite;

    @Value("${security.jwt.resource-ids}")
    private String resourceIds;

    @Bean
    public TokenStore jwtTokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("secret");
        return converter;
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients
            .inMemory()
            .withClient(clientId)
            .secret("{noop}" + clientSecret)
            .authorizedGrantTypes(grantType)
            .scopes(scopeRead, scopeWrite)
            .resourceIds(resourceIds);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
            .tokenStore(jwtTokenStore())
            .accessTokenConverter(jwtAccessTokenConverter())
            .authenticationManager(authenticationManager);
    }
}

4.RedisTokenStore

顾名思义，就是讲令牌信息存储到redis中。首先必须保证redis连接正常。

@Autowired
private RedisConnectionFactory redisConnectionFactory;
/**
 * redis token 配置
 */
@Bean
public TokenStore redisTokenStore() {
    return new RedisTokenStore(redisConnectionFactory);
}


@Autowired(required = false)
private TokenStore redisTokenStore;
/**
 * 端点（处理入口）
 */
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
   endpoints.tokenStore(redisTokenStore);
   ....
}

小结

我们介绍了Spring Security中四种不同的Token Store实现方式。具体包括内存中存储、JDBC数据库存储、保存到redis和基于JWT的存储。每个实现方式都涉及到授权服务器的配置，用于管理和验证令牌，以及客户端详情的配置。

到此这篇关于SpringSecurity的TokenStore四种实现方式小结的文章就介绍到这了,更多相关SpringSecurity TokenStore内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

Java中CyclicBarrier和CountDownLatch的用法与区别
CyclicBarrier和CountDownLatch这两个工具都是在java.util.concurrent包下，并且平时很多场景都会使用到。本文将会对两者进行分析，记录他们的用法和区别，感兴趣的可以了解一下
2021-08-08
servlet的url-pattern匹配规则详细描述(小结)
在利用servlet或Filter进行url请求的匹配时，很关键的一点就是匹配规则。这篇文章主要介绍了servlet的url-pattern匹配规则详细描述(小结)，非常具有实用价值，需要的朋友可以参考下
2018-07-07
SpringBoot整合RabbitMQ实现RPC远程调用功能
在分布式系统中，RPC（Remote Procedure Call）是一种常用的通信机制，它可以让不同的节点之间像调用本地函数一样进行函数调用，隐藏了底层的网络通信细节，通过本教程，你可以了解RPC的基本原理以及如何使用Java实现一个简单的RPC客户端和服务端
2023-06-06
浅谈servlet3异步原理与实践
本篇文章主要介绍了servlet3异步原理与实践，详细的介绍了servlet和异步的流程使用，具有一定的参考价值，有兴趣的可以了解一下
2017-10-10
通过springboot+mybatis+druid配置动态数据源
这篇文章主要介绍了通过springboot+mybatis+druid配置动态数据源，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，,需要的朋友可以参考下
2019-06-06
freemarker jsp java内存方式实现分页示例
这篇文章主要介绍了freemarker jsp java内存方式实现分页示例，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2023-06-06
实例解析Java的Jackson库中的数据绑定
这篇文章主要介绍了Java的Jackson库中的数据绑定,这里分为通常的简单数据绑定与全数据绑定两种情况来讲,需要的朋友可以参考下
2016-01-01
Mybatis的动态Sql组合模式详情
这篇文章主要介绍了Mybatis的动态Sql组合模式详情，这篇文章从组合模式的角度分析了Mybatis动态sql的部分，SqlNode是组合模式的Component接口，更多相关内容需要的小伙伴可以参考一下
2022-08-08
Java 使用openoffice进行word转换为pdf的方法步骤
这篇文章主要介绍了Java 使用openoffice进行word转换为pdf的方法步骤，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2021-04-04
java之如何定义USB接口
这篇文章主要介绍了java之如何定义USB接口问题，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2023-05-05