SpringSecurity Oauth2 - 访问令牌续期

2024-09-02 01:52

本文主要是介绍SpringSecurity Oauth2 - 访问令牌续期,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

    • 1. 访问令牌的续期
    • 2. CustomUserDetailsService
    • 3. 配置 AuthorizationServerEndpointsConfigurer
    • 4. 测试项目

1. 访问令牌的续期

在Spring Security OAuth2中,访问令牌的续期通常是通过使用**刷新令牌(Refresh Token)**来实现的。当访问令牌过期时,客户端可以使用之前获取的刷新令牌来获取新的访问令牌,而不需要再次请求用户认证。

访问令牌续期的基本流程:

获取刷新令牌:当客户端第一次请求访问令牌时(例如通过授权码模式或密码模式),可以同时获取一个刷新令牌。这个刷新令牌可以在访问令牌过期后用于请求新的访问令牌。

请求新的访问令牌:当访问令牌过期时,客户端可以通过向授权服务器发送一个带有刷新令牌的请求来获取新的访问令牌。

POST /oauth/token
Content-Type: application/x-www-form-urlencodedgrant_type=refresh_token&refresh_token={刷新令牌}&client_id={客户端ID}&client_secret={客户端密钥}

关键参数:

grant_type: 需要设置为 refresh_token,表示这是一个刷新令牌请求。

refresh_token: 客户端在最初请求访问令牌时获取的刷新令牌。

client_id: 客户端ID,用于标识客户端。

client_secret: 客户端密钥,用于验证客户端的身份。

刷新令牌的安全性:刷新令牌通常比访问令牌具有更长的有效期,因此需要更严格的保护。可以考虑使用HTTPS来传输刷新令牌,并确保客户端的安全性。

刷新令牌的撤销:如果用户注销或改变密码,通常需要撤销刷新令牌以防止继续使用。

单次使用刷新令牌:一些实现会确保刷新令牌只能使用一次,每次使用后生成新的刷新令牌以增强安全性。

在Spring Security OAuth2中,自定义UserDetailsService可以帮助你在处理访问令牌续期时,增加对用户信息的自定义检查或逻辑。例如,你可以在续期访问令牌时检查用户状态是否有效,或在认证过程中引入更多的自定义用户逻辑。

2. CustomUserDetailsService

自定义一个UserDetailsService,用于加载用户特定的数据。这个服务会在用户进行身份验证或令牌续期时被调用。

@Service
public class CustomUserDetailService implements UserDetailsService {@Autowiredprivate UserDao userDao;@Autowiredprivate PolicyDao policyDao;@Autowiredprivate RoleDao roleDao;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {// 从数据库中查找用户UserEntity userEntity = userDao.queryUserByUserName(username);if (userEntity == null) {throw new UsernameNotFoundException("User not found with username: " + username);}// 根据用户信息查询角色信息List<RoleEntity> roleEntities = roleDao.queryRolesByUserId(userEntity.getId());List<String> roleIds = roleEntities.stream().map(RoleEntity::getId).collect(Collectors.toList());// 根据角色信息查询权限信息List<PolicyEntity> policyEntities = policyDao.queryPolicyByRoleId(roleIds);// 查询权限名称List<String> policyNames = policyEntities.stream().map(PolicyEntity::getName).collect(Collectors.toList());// 构造认证用户权限信息List<SimpleGrantedAuthority> grantedAuthorities= policyNames.stream().map(policyName -> new SimpleGrantedAuthority(policyName)).collect(Collectors.toList());// 将 UserEntity 转换为 UserDetails 对象UserDetails userDetails = User.builder().username(userEntity.getUsername()).password(userEntity.getPassword()).authorities(grantedAuthorities).accountExpired(false).accountLocked(false).disabled(false).build();return userDetails ;}
}

3. 配置 AuthorizationServerEndpointsConfigurer

将自定义的 UserDetailsService 注册到 Spring Security OAuth2 的授权服务器中:

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {@Autowiredprivate AuthenticationManager authenticationManager;@Autowiredprivate CustomUserDetailService customUserDetailService;@Autowiredprivate TokenStore tokenStore;@Autowiredprivate PasswordEncoder passwordEncoder;@Overridepublic void configure(AuthorizationServerSecurityConfigurer security) throws Exception {// 用于配置授权服务器的安全性,如 /oauth/token、/oauth/authorize 等端点的安全性配置。// 允许客户端表单身份验证security.allowFormAuthenticationForClients()// 允许所有人访问令牌验证端点.checkTokenAccess("permitAll()")// 仅允许认证后的用户访问密钥端点.tokenKeyAccess("isAuthenticated");}/*** 对于每个客户端应用,授权服务器会为其分配一个唯一的客户端ID和客户端密钥,并定义其授权范围和访问权限。*/@Overridepublic void configure(ClientDetailsServiceConfigurer clients) throws Exception {// 用于配置客户端详细信息服务,这个服务用来定义哪些客户端可以访问授权服务器以及客户端的配置信息。// 将客户端信息存储在内存中,适合开发和测试环境。clients.inMemory()// 定义客户端ID.withClient("client_id")// 定义客户端密钥.secret(passwordEncoder.encode("client_secret"))// 定义客户端支持的授权模式。.authorizedGrantTypes("password","refresh_token","client_credentials")// 设置访问令牌的有效期。.accessTokenValiditySeconds(3600)// 设置刷新令牌的有效期。.refreshTokenValiditySeconds(7200)// 定义客户端的作用范围。.scopes("all");}@Overridepublic void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {// 用于配置授权和令牌的端点,以及令牌服务、令牌存储、用户认证等相关配置。// 配置用于密码模式的 AuthenticationManager。endpoints.authenticationManager(authenticationManager)// 在刷新令牌时使用此服务加载用户信息。.userDetailsService(customUserDetailService)// 配置令牌的存储策略,例如内存、数据库或 Redis。.tokenStore(tokenStore);}
}

4. 测试项目

① 获取访问令牌:

在这里插入图片描述

② 当访问令牌过期时,客户端可以通过向授权服务器发送一个带有刷新令牌的请求来获取新的访问令牌。

在这里插入图片描述

这篇关于SpringSecurity Oauth2 - 访问令牌续期的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1128670

相关文章

Java编译生成多个.class文件的原理和作用

《Java编译生成多个.class文件的原理和作用》作为一名经验丰富的开发者,在Java项目中执行编译后,可能会发现一个.java源文件有时会产生多个.class文件,从技术实现层面详细剖析这一现象... 目录一、内部类机制与.class文件生成成员内部类(常规内部类)局部内部类(方法内部类)匿名内部类二、

SpringBoot实现数据库读写分离的3种方法小结

《SpringBoot实现数据库读写分离的3种方法小结》为了提高系统的读写性能和可用性,读写分离是一种经典的数据库架构模式,在SpringBoot应用中,有多种方式可以实现数据库读写分离,本文将介绍三... 目录一、数据库读写分离概述二、方案一:基于AbstractRoutingDataSource实现动态

Springboot @Autowired和@Resource的区别解析

《Springboot@Autowired和@Resource的区别解析》@Resource是JDK提供的注解,只是Spring在实现上提供了这个注解的功能支持,本文给大家介绍Springboot@... 目录【一】定义【1】@Autowired【2】@Resource【二】区别【1】包含的属性不同【2】@

springboot循环依赖问题案例代码及解决办法

《springboot循环依赖问题案例代码及解决办法》在SpringBoot中,如果两个或多个Bean之间存在循环依赖(即BeanA依赖BeanB,而BeanB又依赖BeanA),会导致Spring的... 目录1. 什么是循环依赖?2. 循环依赖的场景案例3. 解决循环依赖的常见方法方法 1:使用 @La

Java枚举类实现Key-Value映射的多种实现方式

《Java枚举类实现Key-Value映射的多种实现方式》在Java开发中,枚举(Enum)是一种特殊的类,本文将详细介绍Java枚举类实现key-value映射的多种方式,有需要的小伙伴可以根据需要... 目录前言一、基础实现方式1.1 为枚举添加属性和构造方法二、http://www.cppcns.co

Elasticsearch 在 Java 中的使用教程

《Elasticsearch在Java中的使用教程》Elasticsearch是一个分布式搜索和分析引擎,基于ApacheLucene构建,能够实现实时数据的存储、搜索、和分析,它广泛应用于全文... 目录1. Elasticsearch 简介2. 环境准备2.1 安装 Elasticsearch2.2 J

Java中的String.valueOf()和toString()方法区别小结

《Java中的String.valueOf()和toString()方法区别小结》字符串操作是开发者日常编程任务中不可或缺的一部分,转换为字符串是一种常见需求,其中最常见的就是String.value... 目录String.valueOf()方法方法定义方法实现使用示例使用场景toString()方法方法

Java中List的contains()方法的使用小结

《Java中List的contains()方法的使用小结》List的contains()方法用于检查列表中是否包含指定的元素,借助equals()方法进行判断,下面就来介绍Java中List的c... 目录详细展开1. 方法签名2. 工作原理3. 使用示例4. 注意事项总结结论:List 的 contain

Java实现文件图片的预览和下载功能

《Java实现文件图片的预览和下载功能》这篇文章主要为大家详细介绍了如何使用Java实现文件图片的预览和下载功能,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... Java实现文件(图片)的预览和下载 @ApiOperation("访问文件") @GetMapping("

Spring Boot + MyBatis Plus 高效开发实战从入门到进阶优化(推荐)

《SpringBoot+MyBatisPlus高效开发实战从入门到进阶优化(推荐)》本文将详细介绍SpringBoot+MyBatisPlus的完整开发流程,并深入剖析分页查询、批量操作、动... 目录Spring Boot + MyBATis Plus 高效开发实战:从入门到进阶优化1. MyBatis