权限认证方案-第三方鉴权+token续期

原创 已于 2022-02-16 10:57:31 修改 · 2.5k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #java #shiro #oauth2

于 2021-06-25 14:28:09 首次发布
本文提出了一种结合Spring Security OAuth2和Shiro优点的自定义鉴权方案,该方案包括了请求拦截、细粒度权限控制、第三方鉴权等功能,旨在提供一种轻量级且灵活的鉴权解决方案。

一.背景

公司之前的鉴权都是自研的,并未引入shiro或者spring security oauth2等成熟的开源框架。主项目使用的鉴权方式是利用session来鉴权,这样的好处是,在requestHeader中,用户不能直接获取到token或者相关信息,但是对于权限续期和采用分布式或微服务方案后的鉴权一直都处理不好,于是需要对权限模块进行重做。

二. 选型

目前市面上最流行的两个开源鉴权框架,shirospring security oauth2我都有使用过,不过两者都有各自不好的地方。

spring security oauth2

  • 细粒度鉴权方面没有shiro好,其粒度到role,不能到permission,如果要做的更好需要扩展
  • 验证码登录、微信小程序登录等实现起来较为麻烦,具体方案可参见另外一篇文章: spring security Oauth2验证码等多方式登录
  • 需要单独部署一个server服务,相对而言更浪费服务器资源
  • 配置很反锁,重量级

shiro:

  • 第三方鉴权需要自己去实现
  • 对oauth2协议不支持,有些功能需要自己实现
  • 不支持token的刷新机制

由于以上原因,决定基于两者实现一个简单易用的鉴权流程满足需求。

二.方案

1.请求拦截

通过Interceptor拦截器来拦截所有请求,拦截器配置如下

/**
 *mvc配置
 * @program: Mr1ght
 */
@Slf4j
@Configuration
public class MvcConfiguration {
   
   

    @Bean
    public WebMvcConfigurer webMvcConfigurer(RedisOptUtils redisOptUtils, RedisUtils<Object> redisUtils) {
   
   
        return new WebMvcConfigurer() {
   
   

            @Override
            public void addInterceptors(InterceptorRegistry registry) {
   
   
                // jwt拦截器
                registry
                        .addInterceptor(new JwtSignInterceptor())
                        .addPathPatterns("/**")
                        .excludePathPatterns("/swagger-resources/**", "/webjars/**", "/v2/**", "/doc.html", "/error"
                                , "/static/**"  //静态资源
                        )
                ;
            }

            @Override
            public void addResourceHandlers(ResourceHandlerRegistry registry) {
   
   
                registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");
            }
        };
    }
}

2.鉴权

2.1 token续期

取消掉token本身的过期时间,而采用rediskey过期策略来替代。将token存入redis时,设置tokenredis中的过期时间,用户每次访问接口,被拦截器拦截到后,都重置rediskey过期时长,这样就保证了用户在经常访问的时候,能够永不退出,一直保持登录状态。也能保证用户在很久不登录之后,让用户重新登录以保证用户的账号安全

2.2 无需登录接口

因为部分接口是不需要登录的,因此定义了注解FreePassage,将此注解写到类上,则这个类下的所有接口都不会进行权限校验,如果将此注解写到接口上,则对应接口无需权限即可访问

import java.lang.annotation.*;

/**
 * 免登录
 */
@Target(value = {
   
   ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface FreePassage {
   
   
}

2.3 用户密码修改toke失效

缓存用户信息的时候缓存用户密码,利用用户密码作为token的秘钥进行加密解密,这样保证用户修改密码后,能让其他token失效。同时也能保证用户的token的加解密秘钥有一定保密性,保障用户的账户安全。

JwtUtil部分代码


                

                
                
        

    


  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
SpringBoot集成Sa-Token框架权限认证全面指南

				
			

			

				

					本博客聚焦 YOLOv11 全流程落地,涵盖架构优化、数据集处理、训练技巧与多场景部署,兼及国产数据库、Java 开发与 AI 模型应用,内容兼顾理论与工程实践,为开发者提供系统干货,助力高效提升技术能力。
				

				

					06-22
					
					505
					
				

			

		

		

			
				
Sa-Token是一款轻量级Java权限认证框架,提供登录认证权限控制、单点登录等功能。其核心优势在于简单易用、功能全面,特别适合前后端分离和微服务架构。框架采用分层设计,包含API层、实现层和适配层,支持Token管理和分布式会话。与传统方案相比,Sa-Token具有更低的学习曲线和更好的RESTful支持。集成SpringBoot时仅需添加简单依赖和配置即可快速启用,提供Token有效期、并发登录等灵活配置选项。通过注解和拦截器实现权限校验,内置自动续期等实用功能,是一款高效便捷的权限管理解决方案

			
		

	



                

            
              



	

		

			

				
					
Sa-Token入门:第一章 - 基础概念与快速上手

				
			

			

				

					qq_37935324的博客
				

				

					07-22
					
					1393
					
				

			

		

		

			
				
Sa-Token是一个轻量级Java权限认证框架,提供登录认证权限管理、会话控制等核心功能。本文作为入门指南,介绍了其核心概念、优势特性和快速集成方法。Sa-Token具有API简单易用、功能强大(支持单点登录、OAuth2.0等)、高性能和灵活扩展等特点,相比Shiro和Spring Security学习曲线更低。文章详细讲解了环境搭建步骤、登录认证实现流程,并提供了丰富的代码示例,帮助开发者快速掌握基础使用。通过1.5版本后的持续更新,Sa-Token已成为GitHub上7.5k+星的活跃项目,适合需

			
		

	



              


  
              

                


	

		

			

				
					
用户认证管理权限设计方案

				
			

			

				

					12-30
				

			

		

		

			
				
用户认证管理权限设计方案

			
		

	





	

		

			

				
					
接口认证方案

				
			

			

				

					migo_的专栏
				

				

					04-08
					
					998
					
				

			

		

		

			
				
**区别**:OpenID Connect不仅提供了OAuth 2.0的授框架,还加入了用户身份信息(ID Token)的标准化,适用于现代移动和单页面应用的用户身份认证- **区别**:JWT是无状态的,服务器不需要存储会话信息,非常适合分布式微服务架构。- **区别**:与会话认证不同,Token认证不需要服务器维持会话状态,更适合分布式系统和单页面应用(SPA)。- **区别**:OAuth提供了更细粒度的控制,允许第三方应用访问特定的资源,适用于API安全第三方应用集成。

			
		

	



		

			
		



	

		

			

				
					
token续期的5种方案

					
最新发布

				
			

			

				

					jj1245_的博客
				

				

					10-14
					
					822
					
				

			

		

		

			
				
Token续期不是简单的时间重置,而是安全、用户体验和系统性能的三方博弈。这种实现会导致:• 用户操作中断(Token突然过期)• 安全风险(旧Token继续有效)• 并发问题(多个请求同时触发刷新)

			
		

	





	

		

			

				
					
解决第三方接口所需token的持久化问题

				
			

			

				

					DamonREN的博客
				

				

					03-13
					
					5518
					
				

			

		

		

			
				
场景:

调用深信服虚拟机平台提供的接口获取虚拟机信息,以及调用操作虚拟机接口完成相关业务需求。

问题:

每次在调用操作虚拟机相关的接口都要先行获取深信服虚拟机平台提供的token,相当于每次调用一个接口都要先调用获取token的接口。

解决方案:

解决调用第三方接口所需token的持久化问题,以避免每次调用接口都要先去调用第三方的获取token和ticket的接口:
1.数据库:通过第三...

			
		

	





	

		

			

				
					
权限控制与认证的解决方案(zz)

				
			

			

				

					weixin_30587927的博客
				

				

					04-20
					
					266
					
				

			

		

		

			
				
1 权限控制体系中的基本概念
  1.1 身份与主题
  身份(Principal)描述的是用户以及和用户相关的社会关系的属性,例如角色、群组、职位等等。
  主题(Subject)是身份的集合,描述的是一个用户所具有的所有身份。
  下图表示用户的身份:

  图1 用户身份关系图
  1.2 资源与资源域
  资源是系统中的一种存在,包括具体资源和抽象资源。
  具体资源...

			
		

	





	

		

			

				
					
权限认证解决方案

				
			

			

				

					weixin_47345703的博客
				

				

					12-01
					
					329
					
				

			

		

		

			
				
动态配置权限拦截处理解决

			
		

	





	

		

			

				
					
Sa-Token:轻量级Java权限认证框架,支持分布式与微服务

				
			

			

				

					
				

			

		

		

			
				
它可以轻松搭建 OAuth2.0 授服务器,支持常见的授模式,特别是 OpenID Connect 扩展协议,可用于实现第三方登录、资源授等功能。开发者只需少量配置即可完成客户端注册、令牌发放、范围控制、刷新令牌等标准...

			
		

	





	

		

			

				
					
Spring Boot 整合 SA-Token 使用详解

				
			

			

				

					m0_74825093的博客
				

				

					12-31
					
					1541
					
				

			

		

		

			
				
SA-Token是一个基于TokenJava权限认证框架,主要解决:登录认证权限认证、Session会话、踢出登录、单点登录、OAuth2.0、微服务网关等一系列权限相关问题。SA-Token以“简单、易用、安全”为设计目标,致力于打造一个轻量级的权限认证框架。SA-Token允许你通过实现接口来自定义Token的生成、解析和验证逻辑。这对于有特殊Token格式或加密需求的应用非常有用。@Component// 实现自定义的Token处理逻辑// 在配置类中指定自定义的Token处理器。

			
		

	





	

		

			

				
					
第三方登录access token过期问题

					
热门推荐

				
			

			

				

					我爱奔跑的浮云_的博客
				

				

					02-18
					
					2万+
					
				

			

		

		

			
				
前几天参加面试的时候,被面试官问道第三方登录的问题,流程其实很简单,但是当面试官问为什么要保存access token,他过不过期有什么意义。当时答得不是很对,现在总结一下:第三方登录流程
第一步:获取 code:
https://graph.qq.com/oauth2.0/authorize?
response_type=code      //固定写法
&client_id=" . $app_i

			
		

	





	

		

			

				
					
第三方

				
			

			

				

					qq_43632987的博客
				

				

					06-21
					
					308
					
				

			

		

		

			
				
POST请求,JSON传参(application/json,支持仅url传参)a、 拼接appId和时间戳ts请求参数b、 对json字符串进行Base64编码(参考附录3)c、  使用appKey作为密钥对appKey本身进行AES加密(参考附录1)d、 将经过Base64编码的json参数(参数名:base64JsonBody)和经过AES加密的appKey拼接到(a步骤构建的)请求参数后e、 对(d步骤构建的)请求参数进行MD5摘要计算获取指纹签名(参考附录2

			
		

	





	

		

			

				
					
springboot JWT Token 自动续期的解决方案

				
			

			

				

					weixin_39255905的博客
				

				

					03-25
					
					5716
					
				

			

		

		

			
				
关于JWT Token 自动续期的解决方案



前言

在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。

后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对token进行拦截校验,校验token是否过期,如果token过期则会让前端跳转到登录页面重新登录。

因为jwt token中一般会包含用户的基本信息,为了保证token安全性,一般.

			
		

	





	

		

			

				
					
Spring security 多端多用户实战、认证扩展深入

				
			

			

				

					Hades_iphone的博客
				

				

					07-25
					
					3801
					
				

			

		

		

			
				
Spring security 多端多用户实战、认证扩展深入 前言从配置开始搭建从实战场景开始从基础的账号密码开始如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入
当你阅读这篇文章的时候,我们假设你已经对Spring security有所了解,并且懂得如何初步使用。
前

			
		

	





	

		

			

				
					
token

				
			

			

				

					m0_47127594的博客
				

				

					12-17
					
					8488
					
				

			

		

		

			
				
前言
上一篇博客介绍了什么是cookie、session,以及cookie和session之间的区别,运行机制等。那么这篇博客一起来看看另外一种方式,也就是tokentoken就是接口层面的一种校验而已。
一、什么是token?

其实token就是一个令牌,通俗一点可以称为‘暗号’,在一些数据传递之前,要先进行暗号的核对,不同的暗号(令牌)之前被授不同的数据操作。

二、token的运行机制。
#mermaid-svg-uUOHpzCQGpWVw5Nd .label{font-family:'

			
		

	





	

		

			

				
					
Java第三方接口(springboot + 腾讯开放平台)

				
			

			

				

					小码农吗
				

				

					03-01
					
					3024
					
				

			

		

		

			
				
再次谈起接口,大家工作中应该有遇到过给你的接口添加验证。
当我们还没有专门做第三方对接权限管理模块团队的情况下。往往是在负责人与第三方沟通下,通过一些加密算法及公钥秘钥验证直接操作的。
今天我们来介绍一个 “腾讯开放平台”的签名算法工具类


搞笑一堂

例如1:
> A:我是张三,我来查询资料。
> B:你真的是的吗?你所提供的秘钥怎么不匹配?
> A:我。。。
> // 终止资料查询

例如2:
> A:我是张三,我来查询资料。
> B:你好,张三。我已核查你的.

			
		

	





	

		

			

				
					
基于Node.js实现OAuth2.0第三方认证(授码模式)

				
			

			

				

					deft_的博客
				

				

					03-23
					
					5869
					
				

			

		

		

			
				
实现OAuth2第三方认证(Node.js)
实现背景:
本人现在很长一段时间在开发一套多租的Saas平台,很多租户都想把数据同步到我们平台
因此有了第三方数据同步的这么一个痛点需求,想要同步数据就必须要客户提供他们的第三方接口
在本月有一家租户想进行数据同步,给我们提供了接口文档,接口需要OAuth
而在之前的租户的同步流程中,租户的第三方接口并没有使用OAuth2这么一种官方的流程化认证模式
所以在了解学习并开发完成后输出一篇文章记录一下
OAuth2简要介绍:
OAuth 2.0 是目前最流行的授

			
		

	





	

		

			

				
					
JavaWeb项目对接第三方接口的

				
			

			

				

					weixin_44506280的博客
				

				

					08-06
					
					2714
					
				

			

		

		

			
				
在为第三方系统提供接口的时候,肯定是要考虑接口数据安全问题比如接口中数据是否有篡改,如果有大佬在你的接口数据中增加或者修改数据,那岂不是对业务系统造成不可避免的损失请求是否已经超时。请求是否重复提交等问题。如何使做到统一校验使用spring web 拦截器使用spring aop本次就使用spring web 拦截器进行统一校验。

			
		

	





	

		

			

				
					
对接第三方接口

				
			

			

				

					t194978的博客
				

				

					10-30
					
					1765
					
				

			

		

		

			
				
实际上,攻防之间没有绝对的安全,我们能做的是尽量提高攻击者的成本。相对方案二,方案三的方法相对已经有很大提升了(同样参数不能无限制调用),但是仔细一想,还是有问题,攻击者截获请求以后,还是可以在一定时间窗口内通过重放攻击的方式发送请求。但是,对于对外的接口,我们就不得不重视这个问题,外部接口没有做的操作就直接发布到互联网无疑是。,发现我们已经实现了的效果,但是每个接口前面都有一大堆的逻辑,这代码太那啥了。是一样的,未授系统截获后还是可以通过重放的方式,伪装成认证系统,调用这个接口。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  

	
    

      

      

      

        
        

          
          

            

              成就一亿技术人!
            

            

              拼手气红包6.0元
            

          

        

        

          

            还能输入1000个字符
          

          

             
          

          

            

              红包
              添加红包
            

            

              表情包
              插入表情
              

                

              

            

            

              表情包
              代码片
              

                
              

            

            

              
              
              
              
              
              
              
            

          

        

      

    

		

			

			

			

					 条评论被折叠 查看
			

			

				
			

		

	

	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值