SpringSecurity Oauth2访问令牌续期问题
更新时间:2025年04月06日 11:01:01 作者:我一直在流浪
这篇文章主要介绍了SpringSecurity Oauth2访问令牌续期问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
1. 访问令牌的续期
在Spring Security OAuth2中,访问令牌的续期通常是通过使用**刷新令牌(Refresh Token)**来实现的。
当访问令牌过期时,客户端可以使用之前获取的刷新令牌来获取新的访问令牌,而不需要再次请求用户认证。
访问令牌续期的基本流程:
- ① 获取刷新令牌:当客户端第一次请求访问令牌时(例如通过授权码模式或密码模式),可以同时获取一个刷新令牌。这个刷新令牌可以在访问令牌过期后用于请求新的访问令牌。
- ② 请求新的访问令牌:当访问令牌过期时,客户端可以通过向授权服务器发送一个带有刷新令牌的请求来获取新的访问令牌。
POST /oauth/token
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token={刷新令牌}&client_id={客户端ID}&client_secret={客户端密钥}关键参数:
- ① grant_type: 需要设置为
refresh_token,表示这是一个刷新令牌请求。 - ② refresh_token: 客户端在最初请求访问令牌时获取的刷新令牌。
- ③ client_id: 客户端ID,用于标识客户端。
- ④ client_secret: 客户端密钥,用于验证客户端的身份。
刷新令牌的安全性:刷新令牌通常比访问令牌具有更长的有效期,因此需要更严格的保护。可以考虑使用HTTPS来传输刷新令牌,并确保客户端的安全性。
刷新令牌的撤销:如果用户注销或改变密码,通常需要撤销刷新令牌以防止继续使用。
单次使用刷新令牌:一些实现会确保刷新令牌只能使用一次,每次使用后生成新的刷新令牌以增强安全性。
在Spring Security OAuth2中,自定义UserDetailsService可以帮助你在处理访问令牌续期时,增加对用户信息的自定义检查或逻辑。
例如,你可以在续期访问令牌时检查用户状态是否有效,或在认证过程中引入更多的自定义用户逻辑。
2. CustomUserDetailsService
自定义一个UserDetailsService,用于加载用户特定的数据。
这个服务会在用户进行身份验证或令牌续期时被调用。
@Service
public class CustomUserDetailService implements UserDetailsService {
@Autowired
private UserDao userDao;
@Autowired
private PolicyDao policyDao;
@Autowired
private RoleDao roleDao;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 从数据库中查找用户
UserEntity userEntity = userDao.queryUserByUserName(username);
if (userEntity == null) {
throw new UsernameNotFoundException("User not found with username: " + username);
}
// 根据用户信息查询角色信息
List<RoleEntity> roleEntities = roleDao.queryRolesByUserId(userEntity.getId());
List<String> roleIds = roleEntities.stream().map(RoleEntity::getId).collect(Collectors.toList());
// 根据角色信息查询权限信息
List<PolicyEntity> policyEntities = policyDao.queryPolicyByRoleId(roleIds);
// 查询权限名称
List<String> policyNames = policyEntities.stream().map(PolicyEntity::getName).collect(Collectors.toList());
// 构造认证用户权限信息
List<SimpleGrantedAuthority> grantedAuthorities
= policyNames.stream().map(policyName -> new SimpleGrantedAuthority(policyName)).collect(Collectors.toList());
// 将 UserEntity 转换为 UserDetails 对象
UserDetails userDetails = User.builder()
.username(userEntity.getUsername())
.password(userEntity.getPassword())
.authorities(grantedAuthorities)
.accountExpired(false)
.accountLocked(false)
.disabled(false)
.build();
return userDetails ;
}
}3. 配置 AuthorizationServerEndpointsConfigurer
将自定义的 UserDetailsService 注册到 Spring Security OAuth2 的授权服务器中:
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private CustomUserDetailService customUserDetailService;
@Autowired
private TokenStore tokenStore;
@Autowired
private PasswordEncoder passwordEncoder;
@Override
public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
// 用于配置授权服务器的安全性,如 /oauth/token、/oauth/authorize 等端点的安全性配置。
// 允许客户端表单身份验证
security.allowFormAuthenticationForClients()
// 允许所有人访问令牌验证端点
.checkTokenAccess("permitAll()")
// 仅允许认证后的用户访问密钥端点
.tokenKeyAccess("isAuthenticated");
}
/**
* 对于每个客户端应用,授权服务器会为其分配一个唯一的客户端ID和客户端密钥,并定义其授权范围和访问权限。
*/
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
// 用于配置客户端详细信息服务,这个服务用来定义哪些客户端可以访问授权服务器以及客户端的配置信息。
// 将客户端信息存储在内存中,适合开发和测试环境。
clients.inMemory()
// 定义客户端ID
.withClient("client_id")
// 定义客户端密钥
.secret(passwordEncoder.encode("client_secret"))
// 定义客户端支持的授权模式。
.authorizedGrantTypes("password","refresh_token","client_credentials")
// 设置访问令牌的有效期。
.accessTokenValiditySeconds(3600)
// 设置刷新令牌的有效期。
.refreshTokenValiditySeconds(7200)
// 定义客户端的作用范围。
.scopes("all");
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
// 用于配置授权和令牌的端点,以及令牌服务、令牌存储、用户认证等相关配置。
// 配置用于密码模式的 AuthenticationManager。
endpoints.authenticationManager(authenticationManager)
// 在刷新令牌时使用此服务加载用户信息。
.userDetailsService(customUserDetailService)
// 配置令牌的存储策略,例如内存、数据库或 Redis。
.tokenStore(tokenStore);
}
}4. 测试项目
① 获取访问令牌:
② 当访问令牌过期时,客户端可以通过向授权服务器发送一个带有刷新令牌的请求来获取新的访问令牌。
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
在写业务代码的时候,难免会遇到很多if-else,这个时候如果if-else不是很多可以用if-else,如果此时场景过多,太多的if-else会导致代码比较臃肿,这个时候策略模式就出现了,本文主要阐述工作中常用的实现策略模式的几种方式,需要的朋友可以参考下2024-05-05
详解在SpringBoot中使用MongoDb做单元测试的代码
这篇文章主要介绍了详解在SpringBoot中使用MongoDb做单元测试的代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-11-11
这篇文章主要介绍了SpringBoot 项目中创建线程池,文章基于Spring Boot项目创建线程池ThreadPoolExecutor,需要的小伙伴可以参考一下2022-04-04
这篇文章主要介绍了关于Java日期工具类的编写,在Java开发中,经常会遇到处理日期相关的数据,那么今天我们来自己写一个工具类,文中有详细的实例代码以及实现思路,需要的朋友可以参考下2023-05-05
SpringMVC @RequestBody Date类型的Json转换方式
这篇文章主要介绍了SpringMVC @RequestBody Date类型的Json转换方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-10-10
这篇文章主要介绍了Intellij IDEA Debug调试技巧(小结),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2019-10-10
Java SpringBoot快速集成SpringBootAdmin管控台监控服务详解
这篇文章主要介绍了如何基于springboot-admin管控台监控服务,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2021-09-09
这篇文章主要介绍了Java多线程案例之单例模式懒汉+饿汉+枚举,文章着重介绍在多线程的背景下简单的实现单例模式,需要的小伙伴可以参考一下2022-06-06
在Java学习与应用中,数据结构无疑是每个人都要接触的难点,为了更好的学习数据结构这一块内容,用图来理解便是最好的方式,让我们一起来了解本篇内容图的进阶2022-01-01
这篇文章主要介绍了springboot + jpa实现删除数据的操作代码,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧2024-05-05
最新评论