SpringSecurity Oauth2访问令牌续期问题
更新时间:2025年04月06日 11:01:01 作者:我一直在流浪
这篇文章主要介绍了SpringSecurity Oauth2访问令牌续期问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
1. 访问令牌的续期
在Spring Security OAuth2中,访问令牌的续期通常是通过使用**刷新令牌(Refresh Token)**来实现的。
当访问令牌过期时,客户端可以使用之前获取的刷新令牌来获取新的访问令牌,而不需要再次请求用户认证。
访问令牌续期的基本流程:
- ① 获取刷新令牌:当客户端第一次请求访问令牌时(例如通过授权码模式或密码模式),可以同时获取一个刷新令牌。这个刷新令牌可以在访问令牌过期后用于请求新的访问令牌。
- ② 请求新的访问令牌:当访问令牌过期时,客户端可以通过向授权服务器发送一个带有刷新令牌的请求来获取新的访问令牌。
POST /oauth/token
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token={刷新令牌}&client_id={客户端ID}&client_secret={客户端密钥}关键参数:
- ① grant_type: 需要设置为
refresh_token,表示这是一个刷新令牌请求。 - ② refresh_token: 客户端在最初请求访问令牌时获取的刷新令牌。
- ③ client_id: 客户端ID,用于标识客户端。
- ④ client_secret: 客户端密钥,用于验证客户端的身份。
刷新令牌的安全性:刷新令牌通常比访问令牌具有更长的有效期,因此需要更严格的保护。可以考虑使用HTTPS来传输刷新令牌,并确保客户端的安全性。
刷新令牌的撤销:如果用户注销或改变密码,通常需要撤销刷新令牌以防止继续使用。
单次使用刷新令牌:一些实现会确保刷新令牌只能使用一次,每次使用后生成新的刷新令牌以增强安全性。
在Spring Security OAuth2中,自定义UserDetailsService可以帮助你在处理访问令牌续期时,增加对用户信息的自定义检查或逻辑。
例如,你可以在续期访问令牌时检查用户状态是否有效,或在认证过程中引入更多的自定义用户逻辑。
2. CustomUserDetailsService
自定义一个UserDetailsService,用于加载用户特定的数据。
这个服务会在用户进行身份验证或令牌续期时被调用。
@Service
public class CustomUserDetailService implements UserDetailsService {
@Autowired
private UserDao userDao;
@Autowired
private PolicyDao policyDao;
@Autowired
private RoleDao roleDao;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 从数据库中查找用户
UserEntity userEntity = userDao.queryUserByUserName(username);
if (userEntity == null) {
throw new UsernameNotFoundException("User not found with username: " + username);
}
// 根据用户信息查询角色信息
List<RoleEntity> roleEntities = roleDao.queryRolesByUserId(userEntity.getId());
List<String> roleIds = roleEntities.stream().map(RoleEntity::getId).collect(Collectors.toList());
// 根据角色信息查询权限信息
List<PolicyEntity> policyEntities = policyDao.queryPolicyByRoleId(roleIds);
// 查询权限名称
List<String> policyNames = policyEntities.stream().map(PolicyEntity::getName).collect(Collectors.toList());
// 构造认证用户权限信息
List<SimpleGrantedAuthority> grantedAuthorities
= policyNames.stream().map(policyName -> new SimpleGrantedAuthority(policyName)).collect(Collectors.toList());
// 将 UserEntity 转换为 UserDetails 对象
UserDetails userDetails = User.builder()
.username(userEntity.getUsername())
.password(userEntity.getPassword())
.authorities(grantedAuthorities)
.accountExpired(false)
.accountLocked(false)
.disabled(false)
.build();
return userDetails ;
}
}3. 配置 AuthorizationServerEndpointsConfigurer
将自定义的 UserDetailsService 注册到 Spring Security OAuth2 的授权服务器中:
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private CustomUserDetailService customUserDetailService;
@Autowired
private TokenStore tokenStore;
@Autowired
private PasswordEncoder passwordEncoder;
@Override
public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
// 用于配置授权服务器的安全性,如 /oauth/token、/oauth/authorize 等端点的安全性配置。
// 允许客户端表单身份验证
security.allowFormAuthenticationForClients()
// 允许所有人访问令牌验证端点
.checkTokenAccess("permitAll()")
// 仅允许认证后的用户访问密钥端点
.tokenKeyAccess("isAuthenticated");
}
/**
* 对于每个客户端应用,授权服务器会为其分配一个唯一的客户端ID和客户端密钥,并定义其授权范围和访问权限。
*/
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
// 用于配置客户端详细信息服务,这个服务用来定义哪些客户端可以访问授权服务器以及客户端的配置信息。
// 将客户端信息存储在内存中,适合开发和测试环境。
clients.inMemory()
// 定义客户端ID
.withClient("client_id")
// 定义客户端密钥
.secret(passwordEncoder.encode("client_secret"))
// 定义客户端支持的授权模式。
.authorizedGrantTypes("password","refresh_token","client_credentials")
// 设置访问令牌的有效期。
.accessTokenValiditySeconds(3600)
// 设置刷新令牌的有效期。
.refreshTokenValiditySeconds(7200)
// 定义客户端的作用范围。
.scopes("all");
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
// 用于配置授权和令牌的端点,以及令牌服务、令牌存储、用户认证等相关配置。
// 配置用于密码模式的 AuthenticationManager。
endpoints.authenticationManager(authenticationManager)
// 在刷新令牌时使用此服务加载用户信息。
.userDetailsService(customUserDetailService)
// 配置令牌的存储策略,例如内存、数据库或 Redis。
.tokenStore(tokenStore);
}
}4. 测试项目
① 获取访问令牌:
② 当访问令牌过期时,客户端可以通过向授权服务器发送一个带有刷新令牌的请求来获取新的访问令牌。
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
这篇文章主要介绍了SpringAOP如何获取方法参数上的注解操作,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-08-08
这篇文章主要为大家详细介绍了jdbc实现宠物商店管理系统,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2020-10-10
本文给大家介绍SpringBoot自动配置原理解析,springboot使用的是2.3.1版本源码,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧2021-10-10
这篇文章主要介绍了SpringBoot Service和Dao的编写详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-11-11
Spring Boot thymeleaf模板引擎的使用详解
这篇文章主要介绍了Spring Boot thymeleaf模板引擎的使用详解,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2021-03-03
java:程序包org.bouncycastle.jce.provider不存在问题及解决
这篇文章主要介绍了java:程序包org.bouncycastle.jce.provider不存在问题及解决方案,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2023-05-05
这篇文章主要介绍了springmvc json类型转换错误解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2019-12-12
这篇文章主要介绍了如何利用Java实现简易的校园外卖点餐系统,文中采用的技术有:JSP、Spring、SpringMVC、MyBatis 等,感兴趣的可以了解一下2022-03-03
SpringBoot框架内使用Java调用讯飞星火api完整步骤
近年来人工智能技术已经成为了各行各业中不可或缺的一部分,讯飞星火认知是讯飞科技推出的AI开放平台,为开发者提供了丰富的人工智能技术接口和服务,这篇文章主要介绍了SpringBoot框架内使用Java调用讯飞星火api的相关资料,需要的朋友可以参考下2025-05-05
这篇文章主要介绍了SpringMVC中的请求参数接收方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2025-04-04
最新评论