欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

SpringSecurity Oauth2訪問令牌續(xù)期問題

 更新時間:2025年04月06日 11:01:01   作者:我一直在流浪  
這篇文章主要介紹了SpringSecurity Oauth2訪問令牌續(xù)期問題,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教

1. 訪問令牌的續(xù)期

在Spring Security OAuth2中,訪問令牌的續(xù)期通常是通過使用**刷新令牌(Refresh Token)**來實現(xiàn)的。

當訪問令牌過期時,客戶端可以使用之前獲取的刷新令牌來獲取新的訪問令牌,而不需要再次請求用戶認證。

訪問令牌續(xù)期的基本流程:

  • 獲取刷新令牌:當客戶端第一次請求訪問令牌時(例如通過授權碼模式或密碼模式),可以同時獲取一個刷新令牌。這個刷新令牌可以在訪問令牌過期后用于請求新的訪問令牌。
  • 請求新的訪問令牌:當訪問令牌過期時,客戶端可以通過向授權服務器發(fā)送一個帶有刷新令牌的請求來獲取新的訪問令牌。
POST /oauth/token
Content-Type: application/x-www-form-urlencoded

grant_type=refresh_token&refresh_token={刷新令牌}&client_id={客戶端ID}&client_secret={客戶端密鑰}

關鍵參數(shù):

  • grant_type: 需要設置為 refresh_token,表示這是一個刷新令牌請求。
  • refresh_token: 客戶端在最初請求訪問令牌時獲取的刷新令牌。
  • client_id: 客戶端ID,用于標識客戶端。
  • client_secret: 客戶端密鑰,用于驗證客戶端的身份。

刷新令牌的安全性:刷新令牌通常比訪問令牌具有更長的有效期,因此需要更嚴格的保護。可以考慮使用HTTPS來傳輸刷新令牌,并確??蛻舳说陌踩浴?/p>

刷新令牌的撤銷:如果用戶注銷或改變密碼,通常需要撤銷刷新令牌以防止繼續(xù)使用。

單次使用刷新令牌:一些實現(xiàn)會確保刷新令牌只能使用一次,每次使用后生成新的刷新令牌以增強安全性。

在Spring Security OAuth2中,自定義UserDetailsService可以幫助你在處理訪問令牌續(xù)期時,增加對用戶信息的自定義檢查或邏輯。

例如,你可以在續(xù)期訪問令牌時檢查用戶狀態(tài)是否有效,或在認證過程中引入更多的自定義用戶邏輯。

2. CustomUserDetailsService

自定義一個UserDetailsService,用于加載用戶特定的數(shù)據(jù)。

這個服務會在用戶進行身份驗證或令牌續(xù)期時被調(diào)用。

@Service
public class CustomUserDetailService implements UserDetailsService {

    @Autowired
    private UserDao userDao;

    @Autowired
    private PolicyDao policyDao;

    @Autowired
    private RoleDao roleDao;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 從數(shù)據(jù)庫中查找用戶
        UserEntity userEntity = userDao.queryUserByUserName(username);
        if (userEntity == null) {
            throw new UsernameNotFoundException("User not found with username: " + username);
        }
        // 根據(jù)用戶信息查詢角色信息
        List<RoleEntity> roleEntities = roleDao.queryRolesByUserId(userEntity.getId());
        List<String> roleIds = roleEntities.stream().map(RoleEntity::getId).collect(Collectors.toList());
        // 根據(jù)角色信息查詢權限信息
        List<PolicyEntity> policyEntities = policyDao.queryPolicyByRoleId(roleIds);
        // 查詢權限名稱
        List<String> policyNames = policyEntities.stream().map(PolicyEntity::getName).collect(Collectors.toList());

        // 構造認證用戶權限信息
        List<SimpleGrantedAuthority> grantedAuthorities
                = policyNames.stream().map(policyName -> new SimpleGrantedAuthority(policyName)).collect(Collectors.toList());

        // 將 UserEntity 轉換為 UserDetails 對象
        UserDetails userDetails = User.builder()
                .username(userEntity.getUsername())
                .password(userEntity.getPassword())
                .authorities(grantedAuthorities)
                .accountExpired(false)
                .accountLocked(false)
                .disabled(false)
                .build();
        return userDetails ;
    }
}

3. 配置 AuthorizationServerEndpointsConfigurer

將自定義的 UserDetailsService 注冊到 Spring Security OAuth2 的授權服務器中:

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private CustomUserDetailService customUserDetailService;

    @Autowired
    private TokenStore tokenStore;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        // 用于配置授權服務器的安全性,如 /oauth/token、/oauth/authorize 等端點的安全性配置。
        // 允許客戶端表單身份驗證
       security.allowFormAuthenticationForClients()
               // 允許所有人訪問令牌驗證端點
               .checkTokenAccess("permitAll()")
               // 僅允許認證后的用戶訪問密鑰端點
               .tokenKeyAccess("isAuthenticated");
    }

    /**
     * 對于每個客戶端應用,授權服務器會為其分配一個唯一的客戶端ID和客戶端密鑰,并定義其授權范圍和訪問權限。
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        // 用于配置客戶端詳細信息服務,這個服務用來定義哪些客戶端可以訪問授權服務器以及客戶端的配置信息。
        // 將客戶端信息存儲在內(nèi)存中,適合開發(fā)和測試環(huán)境。
        clients.inMemory()
                // 定義客戶端ID
                .withClient("client_id")
                // 定義客戶端密鑰
                .secret(passwordEncoder.encode("client_secret"))
                // 定義客戶端支持的授權模式。
                .authorizedGrantTypes("password","refresh_token","client_credentials")
                // 設置訪問令牌的有效期。
                .accessTokenValiditySeconds(3600)
                // 設置刷新令牌的有效期。
                .refreshTokenValiditySeconds(7200)
                // 定義客戶端的作用范圍。
                .scopes("all");
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        // 用于配置授權和令牌的端點,以及令牌服務、令牌存儲、用戶認證等相關配置。
        // 配置用于密碼模式的 AuthenticationManager。
        endpoints.authenticationManager(authenticationManager)
                // 在刷新令牌時使用此服務加載用戶信息。
                .userDetailsService(customUserDetailService)
                // 配置令牌的存儲策略,例如內(nèi)存、數(shù)據(jù)庫或 Redis。
                .tokenStore(tokenStore);
    }
}

4. 測試項目

① 獲取訪問令牌:

② 當訪問令牌過期時,客戶端可以通過向授權服務器發(fā)送一個帶有刷新令牌的請求來獲取新的訪問令牌。

總結

以上為個人經(jīng)驗,希望能給大家一個參考,也希望大家多多支持腳本之家。

相關文章

  • Spring中實現(xiàn)策略模式的幾種方式小結

    Spring中實現(xiàn)策略模式的幾種方式小結

    在寫業(yè)務代碼的時候,難免會遇到很多if-else,這個時候如果if-else不是很多可以用if-else,如果此時場景過多,太多的if-else會導致代碼比較臃腫,這個時候策略模式就出現(xiàn)了,本文主要闡述工作中常用的實現(xiàn)策略模式的幾種方式,需要的朋友可以參考下
    2024-05-05
  • 詳解在SpringBoot中使用MongoDb做單元測試的代碼

    詳解在SpringBoot中使用MongoDb做單元測試的代碼

    這篇文章主要介紹了詳解在SpringBoot中使用MongoDb做單元測試的代碼,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2020-11-11
  • SpringBoot?項目中創(chuàng)建線程池

    SpringBoot?項目中創(chuàng)建線程池

    這篇文章主要介紹了SpringBoot?項目中創(chuàng)建線程池,文章基于Spring?Boot項目創(chuàng)建線程池ThreadPoolExecutor,需要的小伙伴可以參考一下
    2022-04-04
  • 關于Java日期工具類的編寫

    關于Java日期工具類的編寫

    這篇文章主要介紹了關于Java日期工具類的編寫,在Java開發(fā)中,經(jīng)常會遇到處理日期相關的數(shù)據(jù),那么今天我們來自己寫一個工具類,文中有詳細的實例代碼以及實現(xiàn)思路,需要的朋友可以參考下
    2023-05-05
  • SpringMVC @RequestBody Date類型的Json轉換方式

    SpringMVC @RequestBody Date類型的Json轉換方式

    這篇文章主要介紹了SpringMVC @RequestBody Date類型的Json轉換方式,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2021-10-10
  • Intellij IDEA Debug調(diào)試技巧(小結)

    Intellij IDEA Debug調(diào)試技巧(小結)

    這篇文章主要介紹了Intellij IDEA Debug調(diào)試技巧(小結),文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2019-10-10
  • Java SpringBoot快速集成SpringBootAdmin管控臺監(jiān)控服務詳解

    Java SpringBoot快速集成SpringBootAdmin管控臺監(jiān)控服務詳解

    這篇文章主要介紹了如何基于springboot-admin管控臺監(jiān)控服務,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下
    2021-09-09
  • Java多線程案例之單例模式懶漢+餓漢+枚舉

    Java多線程案例之單例模式懶漢+餓漢+枚舉

    這篇文章主要介紹了Java多線程案例之單例模式懶漢+餓漢+枚舉,文章著重介紹在多線程的背景下簡單的實現(xiàn)單例模式,需要的小伙伴可以參考一下
    2022-06-06
  • Java數(shù)據(jù)結構中圖的進階詳解

    Java數(shù)據(jù)結構中圖的進階詳解

    在Java學習與應用中,數(shù)據(jù)結構無疑是每個人都要接觸的難點,為了更好的學習數(shù)據(jù)結構這一塊內(nèi)容,用圖來理解便是最好的方式,讓我們一起來了解本篇內(nèi)容圖的進階
    2022-01-01
  • springboot + jpa實現(xiàn)刪除數(shù)據(jù)的操作代碼

    springboot + jpa實現(xiàn)刪除數(shù)據(jù)的操作代碼

    這篇文章主要介紹了springboot + jpa實現(xiàn)刪除數(shù)據(jù)的操作代碼,本文通過實例代碼給大家介紹的非常詳細,對大家的學習或工作具有一定的參考借鑒價值,需要的朋友參考下吧
    2024-05-05

最新評論