SpringSecurity Oauth2訪問(wèn)令牌續(xù)期問(wèn)題

更新時(shí)間：2025年04月06日 11:01:01 作者：我一直在流浪

這篇文章主要介紹了SpringSecurity Oauth2訪問(wèn)令牌續(xù)期問(wèn)題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教

1. 訪問(wèn)令牌的續(xù)期

在Spring Security OAuth2中，訪問(wèn)令牌的續(xù)期通常是通過(guò)使用**刷新令牌（Refresh Token）**來(lái)實(shí)現(xiàn)的。

當(dāng)訪問(wèn)令牌過(guò)期時(shí)，客戶(hù)端可以使用之前獲取的刷新令牌來(lái)獲取新的訪問(wèn)令牌，而不需要再次請(qǐng)求用戶(hù)認(rèn)證。

訪問(wèn)令牌續(xù)期的基本流程：

① 獲取刷新令牌：當(dāng)客戶(hù)端第一次請(qǐng)求訪問(wèn)令牌時(shí)（例如通過(guò)授權(quán)碼模式或密碼模式），可以同時(shí)獲取一個(gè)刷新令牌。這個(gè)刷新令牌可以在訪問(wèn)令牌過(guò)期后用于請(qǐng)求新的訪問(wèn)令牌。
② 請(qǐng)求新的訪問(wèn)令牌：當(dāng)訪問(wèn)令牌過(guò)期時(shí)，客戶(hù)端可以通過(guò)向授權(quán)服務(wù)器發(fā)送一個(gè)帶有刷新令牌的請(qǐng)求來(lái)獲取新的訪問(wèn)令牌。

POST /oauth/token
Content-Type: application/x-www-form-urlencoded

grant_type=refresh_token&refresh_token={刷新令牌}&client_id={客戶(hù)端ID}&client_secret={客戶(hù)端密鑰}

關(guān)鍵參數(shù)：

① grant_type: 需要設(shè)置為 refresh_token，表示這是一個(gè)刷新令牌請(qǐng)求。
② refresh_token: 客戶(hù)端在最初請(qǐng)求訪問(wèn)令牌時(shí)獲取的刷新令牌。
③ client_id: 客戶(hù)端ID，用于標(biāo)識(shí)客戶(hù)端。
④ client_secret: 客戶(hù)端密鑰，用于驗(yàn)證客戶(hù)端的身份。

刷新令牌的安全性：刷新令牌通常比訪問(wèn)令牌具有更長(zhǎng)的有效期，因此需要更嚴(yán)格的保護(hù)?？梢钥紤]使用HTTPS來(lái)傳輸刷新令牌，并確?？蛻?hù)端的安全性。

刷新令牌的撤銷(xiāo)：如果用戶(hù)注銷(xiāo)或改變密碼，通常需要撤銷(xiāo)刷新令牌以防止繼續(xù)使用。

單次使用刷新令牌：一些實(shí)現(xiàn)會(huì)確保刷新令牌只能使用一次，每次使用后生成新的刷新令牌以增強(qiáng)安全性。

在Spring Security OAuth2中，自定義UserDetailsService可以幫助你在處理訪問(wèn)令牌續(xù)期時(shí)，增加對(duì)用戶(hù)信息的自定義檢查或邏輯。

例如，你可以在續(xù)期訪問(wèn)令牌時(shí)檢查用戶(hù)狀態(tài)是否有效，或在認(rèn)證過(guò)程中引入更多的自定義用戶(hù)邏輯。

2. CustomUserDetailsService

自定義一個(gè)UserDetailsService，用于加載用戶(hù)特定的數(shù)據(jù)。

這個(gè)服務(wù)會(huì)在用戶(hù)進(jìn)行身份驗(yàn)證或令牌續(xù)期時(shí)被調(diào)用。

@Service
public class CustomUserDetailService implements UserDetailsService {

    @Autowired
    private UserDao userDao;

    @Autowired
    private PolicyDao policyDao;

    @Autowired
    private RoleDao roleDao;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 從數(shù)據(jù)庫(kù)中查找用戶(hù)
        UserEntity userEntity = userDao.queryUserByUserName(username);
        if (userEntity == null) {
            throw new UsernameNotFoundException("User not found with username: " + username);
        }
        // 根據(jù)用戶(hù)信息查詢(xún)角色信息
        List<RoleEntity> roleEntities = roleDao.queryRolesByUserId(userEntity.getId());
        List<String> roleIds = roleEntities.stream().map(RoleEntity::getId).collect(Collectors.toList());
        // 根據(jù)角色信息查詢(xún)權(quán)限信息
        List<PolicyEntity> policyEntities = policyDao.queryPolicyByRoleId(roleIds);
        // 查詢(xún)權(quán)限名稱(chēng)
        List<String> policyNames = policyEntities.stream().map(PolicyEntity::getName).collect(Collectors.toList());

        // 構(gòu)造認(rèn)證用戶(hù)權(quán)限信息
        List<SimpleGrantedAuthority> grantedAuthorities
                = policyNames.stream().map(policyName -> new SimpleGrantedAuthority(policyName)).collect(Collectors.toList());

        // 將 UserEntity 轉(zhuǎn)換為 UserDetails 對(duì)象
        UserDetails userDetails = User.builder()
                .username(userEntity.getUsername())
                .password(userEntity.getPassword())
                .authorities(grantedAuthorities)
                .accountExpired(false)
                .accountLocked(false)
                .disabled(false)
                .build();
        return userDetails ;
    }
}

3. 配置 AuthorizationServerEndpointsConfigurer

將自定義的 UserDetailsService 注冊(cè)到 Spring Security OAuth2 的授權(quán)服務(wù)器中：

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private CustomUserDetailService customUserDetailService;

    @Autowired
    private TokenStore tokenStore;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        // 用于配置授權(quán)服務(wù)器的安全性，如 /oauth/token、/oauth/authorize 等端點(diǎn)的安全性配置。
        // 允許客戶(hù)端表單身份驗(yàn)證
       security.allowFormAuthenticationForClients()
               // 允許所有人訪問(wèn)令牌驗(yàn)證端點(diǎn)
               .checkTokenAccess("permitAll()")
               // 僅允許認(rèn)證后的用戶(hù)訪問(wèn)密鑰端點(diǎn)
               .tokenKeyAccess("isAuthenticated");
    }

    /**
     * 對(duì)于每個(gè)客戶(hù)端應(yīng)用，授權(quán)服務(wù)器會(huì)為其分配一個(gè)唯一的客戶(hù)端ID和客戶(hù)端密鑰，并定義其授權(quán)范圍和訪問(wèn)權(quán)限。
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        // 用于配置客戶(hù)端詳細(xì)信息服務(wù)，這個(gè)服務(wù)用來(lái)定義哪些客戶(hù)端可以訪問(wèn)授權(quán)服務(wù)器以及客戶(hù)端的配置信息。
        // 將客戶(hù)端信息存儲(chǔ)在內(nèi)存中，適合開(kāi)發(fā)和測(cè)試環(huán)境。
        clients.inMemory()
                // 定義客戶(hù)端ID
                .withClient("client_id")
                // 定義客戶(hù)端密鑰
                .secret(passwordEncoder.encode("client_secret"))
                // 定義客戶(hù)端支持的授權(quán)模式。
                .authorizedGrantTypes("password","refresh_token","client_credentials")
                // 設(shè)置訪問(wèn)令牌的有效期。
                .accessTokenValiditySeconds(3600)
                // 設(shè)置刷新令牌的有效期。
                .refreshTokenValiditySeconds(7200)
                // 定義客戶(hù)端的作用范圍。
                .scopes("all");
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        // 用于配置授權(quán)和令牌的端點(diǎn)，以及令牌服務(wù)、令牌存儲(chǔ)、用戶(hù)認(rèn)證等相關(guān)配置。
        // 配置用于密碼模式的 AuthenticationManager。
        endpoints.authenticationManager(authenticationManager)
                // 在刷新令牌時(shí)使用此服務(wù)加載用戶(hù)信息。
                .userDetailsService(customUserDetailService)
                // 配置令牌的存儲(chǔ)策略，例如內(nèi)存、數(shù)據(jù)庫(kù)或 Redis。
                .tokenStore(tokenStore);
    }
}