2. 程式人生 > 其它 >Spring Security OAuth 2.x的重新整理token介面/oauth/token自定義修改

Spring Security OAuth 2.x的重新整理token介面/oauth/token自定義修改

阿新 發佈:2021-09-15

參考資料:

在OAuth 2中模仿DefaultTokenServices寫一個新的tokenServices來提供個性化服務
https://my.oschina.net/u/3768341/blog/2998273

Spring Security OAuth 2.x的重新整理token方法自定義修改

使用maven依賴:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>1.3.5.RELEASE</version>
</dependency> 
<dependency> 
    <groupId>org.springframework.security.oauth</groupId> 
    <artifactId>spring-security-oauth2</artifactId>
    <version>2.0.9.RELEASE</version>
</dependency>

需求:

舊專案的其中一個前端頁面會頻繁呼叫token重新整理方法。

重新整理的token介面會返回一個新的token令牌值給前端,舊的token令牌作廢掉。

重新整理介面時Oauth2框架自帶的介面

/oauth/token?access_token=8192be8f-4564-42cc-9f0f-7049be5ee085&grant_type=refresh_token&refresh_token=4f9ad8f9-885c-4cab-9f39-dc18887b526a&scope=read

請求引數:

access_token: af917135-211e-4dc4-8403
 
-e436a414f7da
grant_type: refresh_token
refresh_token: 4c6f36e8-fb51-44d5-8f87-1ce7e55aa504
scope: read

返回資料:

access_token: "fcb856b1-c325-46cd-bad4-f5d423688a5d"
expires_in: 1799
refresh_token: "4c6f36e8-fb51-44d5-8f87-1ce7e55aa504"
scope: "read"
token_type: "bearer"

而前端頁面可以開啟新的視窗,這個新視窗也需要用到token訪問後端。

到這個新視窗也觸發到某一個前端頁面的重新整理token機制時,會呼叫token重新整理介面。

導致 新視窗的token值變更的,而舊視窗的token值沒有變

舊視窗再次攜帶舊token請求後端時因為token無效,重定向跳轉到的登入頁面。

解決方法:
方法1、呼叫重新整理token方法時,不進行token更新,返回原來的token內容。
可以避免兩個視窗的token不一樣導致跳轉到登入頁面。

本地調式程式碼後,發現重新整理token的最終方法是呼叫DefaultTokenServices類的重新整理token方法

OAuth2AccessToken refreshAccessToken(String refreshTokenValue, TokenRequest tokenRequest)

網上搜索資料,可以在配置時,自定義的tokenService代替預設實現類。

具體配置類,主要檢視第8行,配置endpoints

 1 @Configuration
 2 @EnableAuthorizationServer
 3 public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {
 4 
 5     @Override
 6     public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
 7         // 自定義tokenservice方法
 8         endpoints.tokenServices(tokenServices(endpoints));
 9         endpoints.tokenStore(tokenStore).userApprovalHandler(userApprovalHandler)
10 //                .reuseRefreshTokens(false)
11                 .authenticationManager(authenticationManager).userDetailsService(defaultUsersDetailsService);
12     }
13         
14     private MyTokenService tokenServices(AuthorizationServerEndpointsConfigurer endpoints) {
15         MyTokenService tokenServices = new MyTokenService();
16         tokenServices.setTokenStore(tokenStore);
17         tokenServices.setSupportRefreshToken(true);//支援重新整理token
18         tokenServices.setReuseRefreshToken(true);
19         tokenServices.setClientDetailsService(endpoints.getClientDetailsService());
20         tokenServices.setTokenEnhancer(endpoints.getTokenEnhancer());
21         addUserDetailsService(tokenServices, defaultUsersDetailsService);
22         return tokenServices;
23     }
24 
25     private void addUserDetailsService(MyTokenService tokenServices, UserDetailsService userDetailsService) {
26         if (userDetailsService != null) {
27             PreAuthenticatedAuthenticationProvider provider = new PreAuthenticatedAuthenticationProvider();
28             provider.setPreAuthenticatedUserDetailsService(new UserDetailsByNameServiceWrapper<>(
29                     userDetailsService));
30             tokenServices.setAuthenticationManager(new ProviderManager(Arrays.asList(provider)));
31         }
32     }

自定義的類MyTokenService是複製 DefaultTokenService程式碼

修改了重新整理token的方法

MyTokenService.java

 1 public class MyTokenService implements AuthorizationServerTokenServices, ResourceServerTokenServices,
 2         ConsumerTokenServices, InitializingBean {
 3     /**
 4      * 修改重新整理token方法,只更新token時間,不更換舊的token值
 5      * @param refreshTokenValue
 6      * @param tokenRequest
 7      * @return
 8      * @throws AuthenticationException
 9      */
10     @Override
11     @Transactional(noRollbackFor={InvalidTokenException.class, InvalidGrantException.class})
12     public OAuth2AccessToken refreshAccessToken(String refreshTokenValue, TokenRequest tokenRequest)
13             throws AuthenticationException {
14 
15         。。。前面沒動
16 
17         OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);
18         // 保留token原值
19         ((DefaultOAuth2AccessToken)accessToken).setValue(tokenRequest.getRequestParameters().get("access_token"));
20         tokenStore.storeAccessToken(accessToken, authentication);
21         if (!reuseRefreshToken) {
22             tokenStore.storeRefreshToken(refreshToken, authentication);
23         }
24         return accessToken;
25     }

重新啟動專案,重新整理token介面呼叫後,返回的還是原來的token值

作者:海綿般汲取
出處:https://www.cnblogs.com/gne-hwz/
版權:本文版權歸作者和部落格園共有
轉載:歡迎轉載,但未經作者同意,必須保留此段宣告;必須在文章中給出原文連線;否則必究法律責任

相關推薦

Spring Security OAuth 2.x重新整理token介面/oauth/token定義修改

參考資料: 在OAuth 2中模仿DefaultTokenServices寫一個新的tokenServices來提供個性化服務https://my.oschina.net/u/3768341/blog/2998273

Spring Security2)----使用者登入認證資料庫實現

Spring Security認證架構 在這之前,先來了解一下Spring Security的認證架構,有篇不錯的分析文章,具體可以看這裡:https://my.oschina.net/u/865921/blog/159849。

Spring Security2. EableWebSecurity、WebSecurityConfiguration和過濾器鏈原始碼解析

1 @EnableWebSecurity原始碼解析 @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.TYPE}) @Documented

OAuth 2.0學習之一】OAuth 2.0入門

引子 令牌與密碼的區別令牌(token)與密碼(password)的作用是一樣的,都可以進入系統,但是有三點差異。(1)令牌是短期的,到期會自動失效,使用者自己無法修改。密碼一般長期有效,使用者不修改,就不會發生變化

深度學習程式碼入門(二):tf下的Keras介面,非定義網路初步實現

技術標籤:深度學習 from tensorflow.keras import layers # 匯入常見網路層類 匯入常見網路層,比如說常用的非線性啟用函式relu、softmax都可以。

Linkerd 2.10(Step by Step)—使用 Kustomize 定義 Linkerd 的配置

Linkerd 2.10 系列 快速上手 Linkerd v2 Service Mesh(服務網格) 騰訊雲 K8S 叢集實戰 Service Mesh—Linkerd2 & Traefik2 部署 emojivoto 應用

微軟 Xbox Series X/S 手柄已重新開放定義外觀,還可以刻字

6 月 20 日訊息五年前,微軟推出了 Xbox 設計實驗室,使用者可以建立自己的具有獨特顏色和圖案的 Xbox One 手柄,併購買定製款。該功能在 Xbox Series X/S 釋出之前暫時關閉,現在它又回來了,並增加了更多手柄定製

IDEA2020.2版本設定類和方法的定義註釋模板

  IDEA是目前普遍使用的Java開發編輯器,新增定義的註釋模板,一方面便捷好用,另外一方面可以規範開發。IDEA中設定模板分兩種:1、建立Java類的註釋,2、方法的註釋。

聲網Agora 教育 aPaaS 靈動課堂升級:UI與業務邏輯分離,介面、功能定義更靈活

聲網Agora 教育 aPaaS 產品靈動課堂現已升級至 v1.1.0 版本。聲網Agora 靈動課堂可以幫助教育機構和開發者最快 15 分鐘上線自有品牌、全功能的線上互動教學平臺,節省 90% 開發時間。靈動課堂 1 月 20 日釋出,截

Spring Boot基礎(三)自動配置:建立定義starter

定義依賴,實現引入依賴後SpringBoot自動建立該模組的Bean 參考Mybatis依賴: <!-- https://mvnrepository.com/artifact/org.mybatis.spring.boot/mybatis-spring-boot-starter -->

關於微擎2.7.8不帶網路控制檯定義路由修改方法

1.修改/web/index.php,在該檔案中找到如下程式碼: require __DIR__ . \'/../framework/bootstrap.inc.php\';

laravel如何定義錯誤404介面 laravel如何定義錯誤404介面 laravel如何定義錯誤404介面

laravel如何定義錯誤404介面   1.線上環境的話如果使用者開啟網頁的話laravel框架帶的錯誤介面是非常醜陋的,關鍵是不美觀

Spring Boot 2.x實戰之StateMachine

本文首發於個人網站:Spring Boot 2.x實戰之StateMachine Spring StateMachine是一個狀態機框架,在Spring框架專案中,開發者可以通過簡單的配置就能獲得一個業務狀態機,而不需要自己去管理狀態機的定義、初始化等

spring cloud 2.x版本 Eureka Server服務註冊中心教程

本文采用Spring cloud本文為2.1.8RELEASE,version=Greenwich.SR3 1.建立服務註冊中心 1.1 新建Spring boot工程:eureka-server

spring cloud 2.x版本 Eureka Client服務提供者教程

本文采用Spring cloud本文為2.1.8RELEASE,version=Greenwich.SR3 1 建立eureka client 1.1 新建Srping boot工程:eureka-client

spring cloud 2.x版本 Feign服務發現教程(內含整合Hystrix熔斷機制)

前言 本文采用Spring cloud本文為2.1.8RELEASE,version=Greenwich.SR3 本文基於前兩篇文章eureka-server和eureka-client的實現。

spring cloud 2.x版本 Hystrix Dashboard斷路器教程

前言 本文采用Spring cloud本文為2.1.8RELEASE,version=Greenwich.SR3 本文基於前兩篇文章eureka-server、eureka-client、eureka-ribbon和eureka-feign的實現。

spring cloud 2.x版本 Config配置中心教程

前言 本文采用Spring cloud本文為2.1.8RELEASE,version=Greenwich.SR3 本文基於前面的文章eureka-server的實現。

Spring Boot實戰(六):Spring Boot 2.x整合Redis

最近在學習Spring Boot 2.x整合Redis,在這裡和大家分享一下,希望對大家有幫助。

Spring Boot 2 + Spring Security 5 + JWT 的單頁應用 Restful 解決方案

此前我已經寫過一篇類似的教程,但那時候使用了投機的方法,沒有尊重 Spring Security 的官方設計,自己並不感到滿意。這段時間比較空,故重新研究了一遍。