2. 程式人生 > >專案使用InMemoryTokenStore時,token有效期設定與強制清除某客戶端持有的token

專案使用InMemoryTokenStore時,token有效期設定與強制清除某客戶端持有的token

阿新 發佈:2019-02-08

1. 設定token有效期

    在使用InMemoryTokenStore(token儲存在記憶體)token生成策略時,系統預設的token的有效時間是12小時。

從oauth原始碼的預設token生成方法中,可以看出

public class DefaultTokenServices implements AuthorizationServerTokenServices, ResourceServerTokenServices,
		ConsumerTokenServices, InitializingBean {

	private int refreshTokenValiditySeconds = 60 * 60 * 24 * 30; // default 30 days.

	private int accessTokenValiditySeconds = 60 * 60 * 12; // default 12 hours.
.............................
        private OAuth2AccessToken createAccessToken(OAuth2Authentication authentication, OAuth2RefreshToken refreshToken) {
             DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(UUID.randomUUID().toString());
             int validitySeconds = getAccessTokenValiditySeconds(authentication.getOAuth2Request());
             if (validitySeconds > 0) {
                  token.setExpiration(new Date(System.currentTimeMillis() + (validitySeconds * 1000L)));
             }
             token.setRefreshToken(refreshToken);
             token.setScope(authentication.getOAuth2Request().getScope());

             return accessTokenEnhancer != null ? accessTokenEnhancer.enhance(token, authentication) : token;
        }
      
       /**
        * The access token validity period in seconds
        * @param clientAuth the current authorization request
        * @return the access token validity period in seconds
        */
       protected int getAccessTokenValiditySeconds(OAuth2Request clientAuth) {
         if (clientDetailsService != null) {
             ClientDetails client = clientDetailsService.loadClientByClientId(clientAuth.getClientId());
             Integer validity = client.getAccessTokenValiditySeconds();
             if (validity != null) {
                 return validity;
             }
         }
         return accessTokenValiditySeconds;
      }
 ......................

}
從上面官方原始碼我們可以瞭解到2個事情

1. 在token物件裡面包含了token的過期時間

2. ClientDetails 中的AccessTokenValiditySeconds欄位可以指定token的有效期

目前我已經有一個自定義的客戶端驗證服務類。那麼可以在驗證客戶端物件時,直接呼叫AccessTokenValiditySeconds的set方法,設定token有效期,這個時間的單位是秒

我的程式碼:

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.oauth2.provider.ClientDetails;
import org.springframework.security.oauth2.provider.ClientDetailsService;
import org.springframework.security.oauth2.provider.ClientRegistrationException;
import org.springframework.security.oauth2.provider.client.BaseClientDetails;

import bap.core.config.util.spring.SpringContextHolder;
import bap.core.dao.BaseDao;
import bap.pp.core.config.item.domain.ConfigItem;
import bap.pp.strongbox.client.domain.ClientDetail;

/**
 * 客戶端身份驗證
 * @author Amanda.Z
 *
 */
public class ClientDetailConfig implements ClientDetailsService{

	private BaseDao baseDao;
	
	public ClientDetailConfig() {
		baseDao=SpringContextHolder.getBean(BaseDao.class);
	}
	
	/* 
	 * 根據客戶端clientid檢查客戶端有效性,如果有效,則封裝為oauth2客戶端物件
	 * @see org.springframework.security.oauth2.provider.ClientDetailsService#loadClientByClientId(java.lang.String)
	 */
	@Override
	public ClientDetails loadClientByClientId(String clientId) throws ClientRegistrationException {
		BaseClientDetails details=new BaseClientDetails();
		ClientDetail client=(ClientDetail) this.baseDao.getUniqueResultByHql("from ClientDetail where clientName=? and deleted=0",clientId);
		if(client!=null){
			//設定客戶端id
			details.setClientId(client.getClientName());
			//客戶端私鑰
			details.setClientSecret(client.getClientSecret());
			//受保護資源id
			List<String> resourceList=new ArrayList<>();
			resourceList.add(client.getResource().getResourceKey());
			details.setResourceIds(resourceList);
			//oauth2保護模式,本專案預設全部是客戶端認證模式
			List<String> authorizedGrantTypes=new ArrayList<>();
			authorizedGrantTypes.add("client_credentials");
			details.setAuthorizedGrantTypes(authorizedGrantTypes);
			//客戶端傳入的引數
			List<String> scopList=new ArrayList<>();
			scopList.add("view");
			scopList.add(client.getScope());
			details.setScope(scopList);
			//設定此客戶端持有的使用者組
			Collection<GrantedAuthority> auths = new ArrayList<GrantedAuthority>();
			if(bap.util.StringUtil.isNotEmpty(client.getAuthoritites())){
				String [] authArray=client.getAuthoritites().split(",");
				for (String auth : authArray) {
					auths.add(new SimpleGrantedAuthority(auth));
				}
			}
			details.setAuthorities(auths);
			//設定token有效時間,單位是秒,(如果不設定,框架內部預設是12小時,本平臺設定預設2小時)
			details.setAccessTokenValiditySeconds(Integer.parseInt(ConfigItem.TokenValiditySeconds.getVal()));
		}
		return details;
	}

}

注意:這裡通過ClientDail設定進去的token有效時間,只要有效時間沒有過,不管這個時候,客戶端是否被刪除,都不會影響這個token的訪問。

      這個時候 ,產生了一個明顯的問題,認證端管理員建立了某個客戶端賬戶,並分配了許可權,這個客戶端獲取了一個token,如果這個時候管理員希望把這個客戶端刪除,理論上應該連帶這個客戶端產生的token也刪除。

      接下來,介紹如何解決上面的問題,在自己的服務類中,刪除某個客戶端賬戶產生的token資料

      首先還是先看原始碼,我使用的是InMemoryTokenStore,其中已經具備了刪除token的方法:

public class InMemoryTokenStore implements TokenStore {

	private static final int DEFAULT_FLUSH_INTERVAL = 1000;

	private final ConcurrentHashMap<String, OAuth2AccessToken> accessTokenStore = new ConcurrentHashMap<String, OAuth2AccessToken>();

	private final ConcurrentHashMap<String, OAuth2AccessToken> authenticationToAccessTokenStore = new ConcurrentHashMap<String, OAuth2AccessToken>();

	private final ConcurrentHashMap<String, Collection<OAuth2AccessToken>> userNameToAccessTokenStore = new ConcurrentHashMap<String, Collection<OAuth2AccessToken>>();

	private final ConcurrentHashMap<String, Collection<OAuth2AccessToken>> clientIdToAccessTokenStore = new ConcurrentHashMap<String, Collection<OAuth2AccessToken>>();

	private final ConcurrentHashMap<String, OAuth2RefreshToken> refreshTokenStore = new ConcurrentHashMap<String, OAuth2RefreshToken>();

	private final ConcurrentHashMap<String, String> accessTokenToRefreshTokenStore = new ConcurrentHashMap<String, String>();

	private final ConcurrentHashMap<String, OAuth2Authentication> authenticationStore = new ConcurrentHashMap<String, OAuth2Authentication>();

	private final ConcurrentHashMap<String, OAuth2Authentication> refreshTokenAuthenticationStore = new ConcurrentHashMap<String, OAuth2Authentication>();

	private final ConcurrentHashMap<String, String> refreshTokenToAccessTokenStore = new ConcurrentHashMap<String, String>();

	private final DelayQueue<TokenExpiry> expiryQueue = new DelayQueue<TokenExpiry>();

	private final ConcurrentHashMap<String, TokenExpiry> expiryMap = new ConcurrentHashMap<String, TokenExpiry>();

	private int flushInterval = DEFAULT_FLUSH_INTERVAL;

	private AuthenticationKeyGenerator authenticationKeyGenerator = new DefaultAuthenticationKeyGenerator();

	private AtomicInteger flushCounter = new AtomicInteger(0);
        .............................
        //從記憶體中清除token記錄
        public void removeAccessToken(OAuth2AccessToken accessToken) {
		removeAccessToken(accessToken.getValue());
	}

        //根據clientid獲取其所有token
	public Collection<OAuth2AccessToken> findTokensByClientId(String clientId) {
               Collection<OAuth2AccessToken> result = clientIdToAccessTokenStore.get(clientId);
                return result != null ? Collections.<OAuth2AccessToken> unmodifiableCollection(result) : Collections
                .<OAuth2AccessToken> emptySet();
        }
        //根據token值,在記憶體中移除這條token的記錄
	public void removeAccessToken(String tokenValue) {
		OAuth2AccessToken removed = this.accessTokenStore.remove(tokenValue);
		this.accessTokenToRefreshTokenStore.remove(tokenValue);
		// Don't remove the refresh token - it's up to the caller to do that
		OAuth2Authentication authentication = this.authenticationStore.remove(tokenValue);
		if (authentication != null) {
			this.authenticationToAccessTokenStore.remove(authenticationKeyGenerator.extractKey(authentication));
			Collection<OAuth2AccessToken> tokens;
			String clientId = authentication.getOAuth2Request().getClientId();
			tokens = this.userNameToAccessTokenStore.get(getApprovalKey(clientId, authentication.getName()));
			if (tokens != null) {
				tokens.remove(removed);
			}
			tokens = this.clientIdToAccessTokenStore.get(clientId);
			if (tokens != null) {
				tokens.remove(removed);
			}
			this.authenticationToAccessTokenStore.remove(authenticationKeyGenerator.extractKey(authentication));
		}
	}
        ...............
}

      我們看到這些remove方法,入參要求傳入token的,顯然我並不知道這個客戶端的token的值,我只有這個客戶端的物件本身,那麼,再看另外的方法findTokensByClientId通過這個方法,可以由clientid獲取到這個客戶端所有token值,也就是說,接下來,只需要呼叫這個方法,遍歷結果集,逐個呼叫remove方法移除即可。

     事實上,真正坑爹的是,你得不到InMemoryTokensStrore這個類的例項物件,從Spring容器中,竟然獲取不了,我試著用@autowride獲取它,直接異常。這是,求助官網文件,但是連個P都沒說。所以繼續扣原始碼!!

     持續向上查詢所有呼叫InMemoryTokenStore這個類中方法,並且能夠提供對tokenStore的get方法的類,還要求能夠從spring中獲取得到這個類物件,終於!終於!在public final class AuthorizationServerEndpointsConfigurer 這個類裡面我找到了tokenStore的get方法。 

public final class AuthorizationServerEndpointsConfigurer {

	private AuthorizationServerTokenServices tokenServices;

	private ConsumerTokenServices consumerTokenServices;

	private AuthorizationCodeServices authorizationCodeServices;

	private ResourceServerTokenServices resourceTokenServices;

	private TokenStore tokenStore;

	private TokenEnhancer tokenEnhancer;

	private AccessTokenConverter accessTokenConverter;

	private ApprovalStore approvalStore;

	private TokenGranter tokenGranter;

	private OAuth2RequestFactory requestFactory;

	private OAuth2RequestValidator requestValidator;

	private UserApprovalHandler userApprovalHandler;

	private AuthenticationManager authenticationManager;

	private ClientDetailsService clientDetailsService;

	private String prefix;

	private Map<String, String> patternMap = new HashMap<String, String>();

	private Set<HttpMethod> allowedTokenEndpointRequestMethods = new HashSet<HttpMethod>();

	private FrameworkEndpointHandlerMapping frameworkEndpointHandlerMapping;

	private boolean approvalStoreDisabled;

	private List<Object> interceptors = new ArrayList<Object>();

	private DefaultTokenServices defaultTokenServices;

	private UserDetailsService userDetailsService;

	private boolean tokenServicesOverride = false;

	private boolean userDetailsServiceOverride = false;

	private boolean reuseRefreshToken = true;

	private WebResponseExceptionTranslator exceptionTranslator;

        ......................
        //記住這裡先
        public boolean isUserDetailsServiceOverride() {
		return userDetailsServiceOverride;
	}
        .............
        public AuthorizationServerEndpointsConfigurer userDetailsService(UserDetailsService userDetailsService) {
		if (userDetailsService != null) {
			this.userDetailsService = userDetailsService;
			this.userDetailsServiceOverride = true;
		}
		return this;
	}
        .................

       //tokenStore是InMemoryTokenStore的父類,這裡是關鍵,我們親愛的get方法
        public TokenStore getTokenStore() {
		return tokenStore();
	}


那麼如何獲取AuthorizationServerEndpointsConfigurer,我嘗試用@autowride注入我的服務類,然並卵。那麼繼續挖,在oauth2驗證端的原始配置類中,找到了如下語句:

@Configuration
@Order(0)
@Import({ ClientDetailsServiceConfiguration.class, AuthorizationServerEndpointsConfiguration.class })
public class AuthorizationServerSecurityConfiguration extends WebSecurityConfigurerAdapter {

	@Autowired
	private List<AuthorizationServerConfigurer> configurers = Collections.emptyList();

	@Autowired
	private ClientDetailsService clientDetailsService;

	@Autowired
	private AuthorizationServerEndpointsConfiguration endpoints;

	@Autowired
	public void configure(ClientDetailsServiceConfigurer clientDetails) throws Exception {
		for (AuthorizationServerConfigurer configurer : configurers) {
			configurer.configure(clientDetails);
		}
	}

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		AuthorizationServerSecurityConfigurer configurer = new AuthorizationServerSecurityConfigurer();
		FrameworkEndpointHandlerMapping handlerMapping = endpoints.oauth2EndpointHandlerMapping();
		http.setSharedObject(FrameworkEndpointHandlerMapping.class, handlerMapping);
		configure(configurer);
		http.apply(configurer);
		String tokenEndpointPath = handlerMapping.getServletPath("/oauth/token");
		String tokenKeyPath = handlerMapping.getServletPath("/oauth/token_key");
		String checkTokenPath = handlerMapping.getServletPath("/oauth/check_token");
		if (!endpoints.getEndpointsConfigurer().isUserDetailsServiceOverride()) {
			UserDetailsService userDetailsService = http.getSharedObject(UserDetailsService.class);
                        //注意看這行程式碼
                        endpoints.getEndpointsConfigurer().userDetailsService(userDetailsService);
		}

      endpoints.getEndpointsConfigurer().userDetailsService(userDetailsService);看到這一行,你會明白,用這個endpoints.getEndpointsConfigurer(),你可以獲取到AuthorizationServerEndpointsConfigurrer物件。那麼這個endpoints這貨,是怎麼拿到的,是@autowride來的,他在spring容器!妥了這回!

      我的客戶端全部都是自定義的,有自己的服務類,所以,現在我可以在我自己的服務類中的刪除客戶端方法中這樣寫:

@Autowired
private AuthorizationServerEndpointsConfiguration endpoints;

@Transactional
	public boolean delete(String[] ck_ids) {
		//執行邏輯刪除操作
		for (String id : ck_ids) {
			ClientDetail detail=this.baseDao.get(ClientDetail.class, id);
			//移除這個客戶端建立的所有token
			InMemoryTokenStore tokenStore=(InMemoryTokenStore) endpoints.getEndpointsConfigurer().getTokenStore();
			Collection<OAuth2AccessToken> tokens=tokenStore.findTokensByClientId(detail.getClientName());
			if(tokens!=null&&tokens.size()>0){
				for(OAuth2AccessToken accessToken:tokens){
					tokenStore.removeAccessToken(accessToken);
				}
			}
			//對客戶端進行邏輯刪除
			detail.setDeleted(1);	
			this.baseDao.update(detail);
		}
		return true;
	}


打完收工

相關推薦

專案使用InMemoryTokenStoretoken有效期設定強制清除客戶持有的token

1. 設定token有效期     在使用InMemoryTokenStore(token儲存在記憶體)token生成策略時,系統預設的token的有效時間是12小時。 從oauth原始碼的預設token生成方法中,可以看出 public class DefaultTok

nginx做反向代理配置其讓tomcat的日誌獲取客戶ip

在nginx的配置檔案nginx.conf中配置,加上proxy_set_header X-real-IP $remote_addr。 server { listen 80; server_nam

angualr專案啟動埠號被佔用問題的解決

1.出現的問題如下:   其中啟動npm start報如下錯誤: 查詢4500所佔用的埠號: 執行taskkill /pid 4和 taskkill /pid 12716的程序。 如果顯示許可權不夠,請用管理員許可權再次啟動一下cmd視窗 如下

IE8中的input設定為disabled字型顏色設定問題

關於Input不能修改,設定屬性可以為disabled或者readonly 但是,如果設定為disabled,關於字型顏色的設定則不再有效,disabled對顏色的設定免疫,因為顏色太淡,使用者體驗差,所以用readonly,但是readonly會出現游標的閃爍問題,需要設定屬性: $('i

JavaWeb專案啟動自動執行程式碼的三種方式(包含不佔用tomcat啟動長的方式)

三種方式實現在tomcat啟動時執行某段程式碼 由於這三種方式的執行時長計算在tomcat的啟動時長裡,如果tomcat設定了啟動超時時間,那麼這三種方式執行的操作很可能會讓tomcat啟動超時。 為了解決自動執行的部分不影響tomcat的正常啟動我們可以在三種方式中新建一個執行

開發必備知識點--django專案啟動url載入之前執行某個.py檔案

django專案啟動時,自定義執行某個py檔案 在任意的app下的apps.py中的Config類下自定義ready()方法,並且呼叫autodiscover_modules。 app01/apps.py 1 from django.apps import AppConfig 2 from dj

【git】多專案合作忽略.classpath等檔案的修改

問題描述 想必大家經常遇到過,和同事協作同一個專案時,出現經常會由於彼此環境的不同,導致專案檔案的提交,導致別人的環境報類似 jdk路徑找不到。 這樣的錯誤。這種問題的產生,無非就是一些預設檔案(以.開頭)發生了更改,那是隨使用者的不同環境而變化的,不應該被提交

java專案啟動java.lang.StackOverflowError 解決辦法

之前做的一個專案,一切正常。有天在啟動時,突然報錯了。 報錯資訊如上 看日誌猜測是資料庫連線池爆了,然後改資料庫連線池配置,沒有用。 一想到是棧溢位,想可能是記憶體小了,重新分配idea、tomcat記憶體,沒有用。 然後去百度,別人都說是遞迴等方法層級太深,可是我

C語言open()和creat()函式建立檔案檔案許可權設定相關

open()和creat()建立檔案時,檔案許可權說明 首先了解一下 umask 命令,該命令用來設定限制新檔案許可權的掩碼。當新檔案被建立時,其最初的許可權由檔案建立掩碼決定。簡單地來說,umask和open()及creat()函式的許可權碼(mode_t mode引數)共同決定你

Java專案啟動隱藏的 oracle 驅動異常問題

【場景】如果你跟我一樣在開發微服務的專案,有一個隱藏的問題你可能沒有發現,因為這個問題對你的專案啟動似乎不會產生太大的影響,而這個問題的錯誤級別只是“WARN(警告)”。以下是出現該問題的日誌截圖: 問題的文字描述:egistered driver with driverclassname=oracle.j

Revit二次開發——取得專案工作集遍歷設定工作集的可見性

UIDocument uiDoc = app.ActiveUIDocument; Document doc = uiDoc.Document; //取得工作集 FilteredWorksetCollector worksetCollector = new Filtere

web專案啟動執行某個方法

1.監聽(Listener) web檔案新增 <listener>      <listener-class>cn.ro.common.InitListener</listener-class>   </l

配置web專案啟動伺服器啟動執行該事件

1.配置web.xml檔案: <listener><listener-class>監聽器的路徑</listener-class></listener> 2.編寫java 類 package com.ronhe.romp.core.

windows安裝MSI軟體系統管理員設定了系統策略 禁止進行此安裝

1. 執行 -> gpedit.msc(本地組策略編輯器)->使用者配置->管理模板->windows元件->windows installer->          1、禁用:阻止從可移動介質...          2、啟用以特高許

flex佈局 主軸寬度不足子專案寬度設定不起作用

.wrap{ display: flex; flex-direction: column;//主軸為豎向 align-items: center;} 若容器內豎向空間不足,子專案的height可能不起作用,被直接壓縮為0,此時需設定其flex屬性(f

IDEA 下開發web專案部署配置檔案沒有編譯的問題

本文轉自:https://blog.csdn.net/dennk/article/details/51834508#commentBox以前用eclipse開發web專案時,配置檔案直接放在src目錄下面,部署的時候會把配置檔案也編譯到classpath下面。用IDEA可不同

iOS 微信支付SDK微信友盟分享兩者同時整合出現的問題解決之路。

這兩天改版一箇舊的APP,要舊貌換新顏,拿到app後進行編譯,一直報下面的錯誤。 報不認識的符號名PayReq錯誤。奇怪,啥也沒動就這樣,真不知道給的包是不是本來就是個報錯的工程。 不管怎樣,要對它修改就先要跑起來啊。   根據錯誤提示,判斷是libwec

iOS 微信支付SDK微信友盟分享兩者同時集成出現的問題解決之路。

說明 圖片 根據 red googl 包含 沒有 終端 手動添加 這兩天改版一個舊的APP,要舊貌換新顏,拿到app後進行編譯,一直報下面的錯誤。 報不認識的符號名PayReq錯誤。奇怪,啥也沒動就這樣,真不知道給的包是不是本來就是個報錯的工程。 不管怎樣,要對它修改就先要

Windows作為NTP同步時間的伺服器需要的設定(Linux時間同步)

“開始”--》“執行”--》輸入“regedit”開啟登錄檔。找到NetSerVer這一項,具體見插圖,裡面很詳細。 將NetSerVer下Enabled的值設定為 1。 修改以下鍵值HKEY_

Android 首次建立資料庫或者更新SQLiteOpenHelper的使用解析

本文主要是說明Android提供的資料庫建立以及更行助手SQLiteOpenHelper的初次使用以及具體方法解析。 首先談談SQLiteOpenHelper的由來,在我們首次安裝App時需要新建一些本地資料表,而這些表只需要在第一次開啟軟體時才需要執行