SpringSecurity Oauth2 - 访问令牌续期

2024-09-02 01:52

本文主要是介绍SpringSecurity Oauth2 - 访问令牌续期,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

    • 1. 访问令牌的续期
    • 2. CustomUserDetailsService
    • 3. 配置 AuthorizationServerEndpointsConfigurer
    • 4. 测试项目

1. 访问令牌的续期

在Spring Security OAuth2中,访问令牌的续期通常是通过使用**刷新令牌(Refresh Token)**来实现的。当访问令牌过期时,客户端可以使用之前获取的刷新令牌来获取新的访问令牌,而不需要再次请求用户认证。

访问令牌续期的基本流程:

获取刷新令牌:当客户端第一次请求访问令牌时(例如通过授权码模式或密码模式),可以同时获取一个刷新令牌。这个刷新令牌可以在访问令牌过期后用于请求新的访问令牌。

请求新的访问令牌:当访问令牌过期时,客户端可以通过向授权服务器发送一个带有刷新令牌的请求来获取新的访问令牌。

POST /oauth/token
Content-Type: application/x-www-form-urlencodedgrant_type=refresh_token&refresh_token={刷新令牌}&client_id={客户端ID}&client_secret={客户端密钥}

关键参数:

grant_type: 需要设置为 refresh_token,表示这是一个刷新令牌请求。

refresh_token: 客户端在最初请求访问令牌时获取的刷新令牌。

client_id: 客户端ID,用于标识客户端。

client_secret: 客户端密钥,用于验证客户端的身份。

刷新令牌的安全性:刷新令牌通常比访问令牌具有更长的有效期,因此需要更严格的保护。可以考虑使用HTTPS来传输刷新令牌,并确保客户端的安全性。

刷新令牌的撤销:如果用户注销或改变密码,通常需要撤销刷新令牌以防止继续使用。

单次使用刷新令牌:一些实现会确保刷新令牌只能使用一次,每次使用后生成新的刷新令牌以增强安全性。

在Spring Security OAuth2中,自定义UserDetailsService可以帮助你在处理访问令牌续期时,增加对用户信息的自定义检查或逻辑。例如,你可以在续期访问令牌时检查用户状态是否有效,或在认证过程中引入更多的自定义用户逻辑。

2. CustomUserDetailsService

自定义一个UserDetailsService,用于加载用户特定的数据。这个服务会在用户进行身份验证或令牌续期时被调用。

@Service
public class CustomUserDetailService implements UserDetailsService {@Autowiredprivate UserDao userDao;@Autowiredprivate PolicyDao policyDao;@Autowiredprivate RoleDao roleDao;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {// 从数据库中查找用户UserEntity userEntity = userDao.queryUserByUserName(username);if (userEntity == null) {throw new UsernameNotFoundException("User not found with username: " + username);}// 根据用户信息查询角色信息List<RoleEntity> roleEntities = roleDao.queryRolesByUserId(userEntity.getId());List<String> roleIds = roleEntities.stream().map(RoleEntity::getId).collect(Collectors.toList());// 根据角色信息查询权限信息List<PolicyEntity> policyEntities = policyDao.queryPolicyByRoleId(roleIds);// 查询权限名称List<String> policyNames = policyEntities.stream().map(PolicyEntity::getName).collect(Collectors.toList());// 构造认证用户权限信息List<SimpleGrantedAuthority> grantedAuthorities= policyNames.stream().map(policyName -> new SimpleGrantedAuthority(policyName)).collect(Collectors.toList());// 将 UserEntity 转换为 UserDetails 对象UserDetails userDetails = User.builder().username(userEntity.getUsername()).password(userEntity.getPassword()).authorities(grantedAuthorities).accountExpired(false).accountLocked(false).disabled(false).build();return userDetails ;}
}

3. 配置 AuthorizationServerEndpointsConfigurer

将自定义的 UserDetailsService 注册到 Spring Security OAuth2 的授权服务器中:

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {@Autowiredprivate AuthenticationManager authenticationManager;@Autowiredprivate CustomUserDetailService customUserDetailService;@Autowiredprivate TokenStore tokenStore;@Autowiredprivate PasswordEncoder passwordEncoder;@Overridepublic void configure(AuthorizationServerSecurityConfigurer security) throws Exception {// 用于配置授权服务器的安全性,如 /oauth/token、/oauth/authorize 等端点的安全性配置。// 允许客户端表单身份验证security.allowFormAuthenticationForClients()// 允许所有人访问令牌验证端点.checkTokenAccess("permitAll()")// 仅允许认证后的用户访问密钥端点.tokenKeyAccess("isAuthenticated");}/*** 对于每个客户端应用,授权服务器会为其分配一个唯一的客户端ID和客户端密钥,并定义其授权范围和访问权限。*/@Overridepublic void configure(ClientDetailsServiceConfigurer clients) throws Exception {// 用于配置客户端详细信息服务,这个服务用来定义哪些客户端可以访问授权服务器以及客户端的配置信息。// 将客户端信息存储在内存中,适合开发和测试环境。clients.inMemory()// 定义客户端ID.withClient("client_id")// 定义客户端密钥.secret(passwordEncoder.encode("client_secret"))// 定义客户端支持的授权模式。.authorizedGrantTypes("password","refresh_token","client_credentials")// 设置访问令牌的有效期。.accessTokenValiditySeconds(3600)// 设置刷新令牌的有效期。.refreshTokenValiditySeconds(7200)// 定义客户端的作用范围。.scopes("all");}@Overridepublic void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {// 用于配置授权和令牌的端点,以及令牌服务、令牌存储、用户认证等相关配置。// 配置用于密码模式的 AuthenticationManager。endpoints.authenticationManager(authenticationManager)// 在刷新令牌时使用此服务加载用户信息。.userDetailsService(customUserDetailService)// 配置令牌的存储策略,例如内存、数据库或 Redis。.tokenStore(tokenStore);}
}

4. 测试项目

① 获取访问令牌:

在这里插入图片描述

② 当访问令牌过期时,客户端可以通过向授权服务器发送一个带有刷新令牌的请求来获取新的访问令牌。

在这里插入图片描述

这篇关于SpringSecurity Oauth2 - 访问令牌续期的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1128670

相关文章

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

Security OAuth2 单点登录流程

单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一注销(single sign-off)就是指

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟&nbsp;开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚&nbsp;第一站:海量资源,应有尽有 走进“智听