脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → Spring Security OAuth个性化token

Spring Security OAuth 个性化token的使用

 更新时间:2019年02月18日 14:19:58   作者:冷冷  
这篇文章主要介绍了Spring Security OAuth 个性化token的使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

个性化Token 目的

默认通过调用 /oauth/token 返回的报文格式包含以下参数

{
 "access_token": "e6669cdf-b6cd-43fe-af5c-f91a65041382",
 "token_type": "bearer",
 "refresh_token": "da91294d-446c-4a89-bdcf-88aee15a75e8",
 "expires_in": 43199, 
 "scope": "server"
}

并没包含用户的业务信息比如用户信息、租户信息等。

扩展生成包含业务信息(如下),避免系统多次调用,直接可以通过认证接口获取到用户信息等,大大提高系统性能

{
 "access_token":"a6f3b6d6-93e6-4eb8-a97d-3ae72240a7b0",
 "token_type":"bearer",
 "refresh_token":"710ab162-a482-41cd-8bad-26456af38e4f",
 "expires_in":42396,
 "scope":"server",
 "tenant_id":1,
 "license":"made by pigx",
 "dept_id":1,
 "user_id":1,
 "username":"admin"
}

密码模式生成Token 源码解析

​ 主页参考红框部分

ResourceOwnerPasswordTokenGranter (密码模式)根据用户的请求信息,进行认证得到当前用户上下文信息

protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {
 Map<String, String> parameters = new LinkedHashMap<String, String>(tokenRequest.getRequestParameters());
 String username = parameters.get("username");
 String password = parameters.get("password");
 // Protect from downstream leaks of password
 parameters.remove("password");
 Authentication userAuth = new UsernamePasswordAuthenticationToken(username, password);
 ((AbstractAuthenticationToken) userAuth).setDetails(parameters);
  
 userAuth = authenticationManager.authenticate(userAuth);

 OAuth2Request storedOAuth2Request = getRequestFactory().createOAuth2Request(client, tokenRequest);  
  return new OAuth2Authentication(storedOAuth2Request, userAuth);
}

然后调用AbstractTokenGranter.getAccessToken() 获取OAuth2AccessToken

protected OAuth2AccessToken getAccessToken(ClientDetails client, TokenRequest tokenRequest) {
 return tokenServices.createAccessToken(getOAuth2Authentication(client, tokenRequest));
}

默认使用DefaultTokenServices来获取token

public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {

 ... 一系列判断 ,合法性、是否过期等判断 
 OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);
  tokenStore.storeAccessToken(accessToken, authentication);
  // In case it was modified
  refreshToken = accessToken.getRefreshToken();
  if (refreshToken != null) {
   tokenStore.storeRefreshToken(refreshToken, authentication);
  }
  return accessToken;
}

createAccessToken 核心逻辑

// 默认刷新token 的有效期
private int refreshTokenValiditySeconds = 60 * 60 * 24 * 30; // default 30 days.
// 默认token 的有效期
private int accessTokenValiditySeconds = 60 * 60 * 12; // default 12 hours.

private OAuth2AccessToken createAccessToken(OAuth2Authentication authentication, OAuth2RefreshToken refreshToken) {
 DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(uuid);
 token.setExpiration(Date)
 token.setRefreshToken(refreshToken);
 token.setScope(authentication.getOAuth2Request().getScope());
 return accessTokenEnhancer != null ? accessTokenEnhancer.enhance(token, authentication) : token;
}

如上代码,在拼装好token对象后会调用认证服务器配置TokenEnhancer( 增强器) 来对默认的token进行增强。

TokenEnhancer.enhance 通过上下文中的用户信息来个性化Token

public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
 final Map<String, Object> additionalInfo = new HashMap<>(8);
 PigxUser pigxUser = (PigxUser) authentication.getUserAuthentication().getPrincipal();
 additionalInfo.put("user_id", pigxUser.getId());
 additionalInfo.put("username", pigxUser.getUsername());
 additionalInfo.put("dept_id", pigxUser.getDeptId());
 additionalInfo.put("tenant_id", pigxUser.getTenantId());
 additionalInfo.put("license", SecurityConstants.PIGX_LICENSE);
 ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);
 return accessToken;
}

基于pig 看下最终的实现效果

Pig 基于Spring Cloud、oAuth2.0开发基于Vue前后分离的开发平台,支持账号、短信、SSO等多种登录,提供配套视频开发教程。

https://gitee.com/log4j/pig

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

您可能感兴趣的文章:

相关文章

  • SpringBoot配置使Mybatis打印SQL执行时的实际参数值操作

    SpringBoot配置使Mybatis打印SQL执行时的实际参数值操作

    这篇文章主要介绍了SpringBoot配置使Mybatis打印SQL执行时的实际参数值操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2020-12-12
  • 剑指Offer之Java算法习题精讲二叉树专项训练

    剑指Offer之Java算法习题精讲二叉树专项训练

    跟着思路走,之后从简单题入手,反复去看,做过之后可能会忘记,之后再做一次,记不住就反复做,反复寻求思路和规律,慢慢积累就会发现质的变化
    2022-03-03
  • Java实战之贪吃蛇小游戏(源码+注释)

    Java实战之贪吃蛇小游戏(源码+注释)

    这篇文章主要介绍了Java实战之贪吃蛇小游戏(源码+注释),文中有非常详细的代码示例,对正在学习java的小伙伴们有非常好的帮助,需要的朋友可以参考下
    2021-04-04
  • Java并发编程深入理解之Synchronized的使用及底层原理详解 上

    Java并发编程深入理解之Synchronized的使用及底层原理详解 上

    在并发编程中存在线程安全问题,主要原因有:1.存在共享数据 2.多线程共同操作共享数据。关键字synchronized可以保证在同一时刻,只有一个线程可以执行某个方法或某个代码块,同时synchronized可以保证一个线程的变化可见(可见性),即可以代替volatile
    2021-09-09
  • Java中split根据"."分割字符串问题举例

    Java中split根据"."分割字符串问题举例

    split表达式其实就是一个正则表达式,* | . ^ 等符号在正则表达式中属于一种有特殊含义的字符,下面这篇文章主要给大家介绍了关于Java中split根据“.“分割字符串问题的相关资料,需要的朋友可以参考下
    2022-10-10
  • JAVA自定义注解详情

    JAVA自定义注解详情

    这篇文章主要介绍了Java自定义注解,结合实例形式总结分析了java常见的自定义注解类型、功能、用法及操作注意事项,需要的朋友可以参考下
    2021-10-10
  • java面向对象编程重要概念继承和多态示例解析

    java面向对象编程重要概念继承和多态示例解析

    这篇文章主要为大家介绍了java面向对象编程的两个重要概念继承和多态示例解析,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2023-05-05
  • Java IO流 文件的编码实例代码

    Java IO流 文件的编码实例代码

    本文通过实例代码给大家介绍了java io流文件编码的方法,非常不错,具有参考借鉴价值,需要的朋友参考下吧
    2017-05-05
  • springboot 实战:异常与重定向问题

    springboot 实战:异常与重定向问题

    这篇文章主要介绍了springboot实战:异常与重定向问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-12-12
  • Java仿12306图片验证码

    Java仿12306图片验证码

    这篇文章主要为大家详细介绍了Java仿12306的图片验证码的相关资料,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2016-04-04

最新评论