Spring Security实践之extractKey引起的权限刷新问题

最新推荐文章于 2024-01-23 22:47:29 发布
原创 最新推荐文章于 2024-01-23 22:47:29 发布 · 695 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文探讨了在Spring Security OAuth2环境下,如何通过改变UserDetail的Authority来实现用户权限的更新,并分析了当权限变更后,AccessToken未随之更新的问题。作者深入源码,发现默认的AuthenticationKeyGenerator仅依赖用户名、域和客户端ID生成AccessToken,导致权限变更无效。为解决此问题,自定义了一个KeyGenerator,加入随机因子使得AccessToken在权限变更后能正确更新。实验结果显示,使用自定义KeyGenerator后,刷新session可以生成新的AccessToken。

1.问题

通过给UserDetail设置不同的Authority来实现一个用户的权限改变,但是最近在对发现当给UserDetail设置不同Authority的时候,重新登录之后加载出来的权限没有变化。

2.思考

首先基于 Spring Security从单体应用到分布式(四)-基于Zuul的Oauth2应用鉴权逻辑如下图,当经过OAuth2ClientAuthenticationProcessingFilter的时候,如果当前session能获取acesstoken的时候,我们就能直接访问目标API。如果当前session中无法获取acesstoken将会通过流成图获取acesstoken,但是我通过浏览器清理session之后发现,发现重新登录获取的acesstoken没有改变。

3.分析

在Spring Security框架获取创建token的路径为/oauth/token,而暴露/oauth/token对应的类为TokenEndpoint,试着从源码中寻找答案,其中找到了

    OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);

再往下进入到DefaultTokenServices的createAccessToken方法的时候,通过分析代码可知,如果通过tokenStore.getAccessToken()获取的existingAccessToken不为空, 此时则进入if循环不生成新的accesstoken,而当existingAccessToken为空的时候则会往下执行创建新的accesstoken。

    OAuth2AccessToken existingAccessToken = tokenStore.getAccessToken(authentication);
    OAuth2RefreshToken refreshToken = null;
    if (existingAccessToken != null) {
      if (existingAccessToken.isExpired()) {
        if (existingAccessToken.getRefreshToken() != null) {
          refreshToken = existingAccessToken.getRefreshToken();
          // The token store could remove the refresh token when the
          // access token is removed, but we want to
					// be sure...
					tokenStore.removeRefreshToken(refreshToken);
				}
				tokenStore.removeAccessToken(existingAccessToken);
			}
			else {
				// Re-store the access token in case the authentication has changed
				tokenStore.storeAccessToken(existingAccessToken, authentication);
				return existingAccessToken;
			}
		}

进入tokenStore.getAccessToken()方法可知,通过authenticationKeyGenerator.extractKey()方法得到的key值从而获取一个accesstoken。

   public OAuth2AccessToken getAccessToken(OAuth2Authentication authentication) {
    String key = authenticationKeyGenerator.extractKey(authentication);
    OAuth2AccessToken accessToken = authenticationToAccessTokenStore.get(key);
		if (accessToken != null
				&& !key.equals(authenticationKeyGenerator.extractKey(readAuthentication(accessToken.getValue())))) {
			// Keep the stores consistent (maybe the same user is represented by this authentication but the details
			// have changed)
			storeAccessToken(accessToken, authentication);
		}
		return accessToken;
	}

再进入authenticationKeyGenerator.extractKey(),在框架默认的判断逻辑当中,仅当使用用户名,域,客户端id作为key的生成标准,即无论我们无论如何修改当前用户的权限都不会引起accesstoken的改变。

    public String extractKey(OAuth2Authentication authentication) {
    Map<String, String> values = new LinkedHashMap<String, String>();
    OAuth2Request authorizationRequest = authentication.getOAuth2Request();
    if (!authentication.isClientOnly()) {
			values.put(USERNAME, authentication.getName());
		}
		values.put(CLIENT_ID, authorizationRequest.getClientId());
		if (authorizationRequest.getScope() != null) {
			values.put(SCOPE, OAuth2Utils.formatParameterList(new TreeSet<String>(authorizationRequest.getScope())));
		}
		return generateKey(values);
	}

4.修改

通过values.put("test", UUID.randomUUID().toString());模拟改变过后的权限

public class CustomKeyGenerator implements AuthenticationKeyGenerator {
    private static final String CLIENT_ID = "client_id";

    private static final String SCOPE = "scope";

    private static final String USERNAME = "username";

    public String extractKey(OAuth2Authentication authentication) {
        Map<String, String> values = new LinkedHashMap<String, String>();
        OAuth2Request authorizationRequest = authentication.getOAuth2Request();
        if (!authentication.isClientOnly()) {
            values.put(USERNAME, authentication.getName());
        }
        values.put(CLIENT_ID, authorizationRequest.getClientId());
        if (authorizationRequest.getScope() != null) {
            values.put(SCOPE, OAuth2Utils.formatParameterList(new TreeSet<String>(authorizationRequest.getScope())));
        }
        values.put("test", UUID.randomUUID().toString());
        return generateKey(values);
    }

    protected String generateKey(Map<String, String> values) {
        MessageDigest digest;
        try {
            digest = MessageDigest.getInstance("MD5");
            byte[] bytes = digest.digest(values.toString().getBytes("UTF-8"));
            return String.format("%032x", new BigInteger(1, bytes));
        } catch (NoSuchAlgorithmException nsae) {
            throw new IllegalStateException("MD5 algorithm not available.  Fatal (should be in the JDK).", nsae);
        } catch (UnsupportedEncodingException uee) {
            throw new IllegalStateException("UTF-8 encoding not available.  Fatal (should be in the JDK).", uee);
        }
    }
}

5.结果

在个人信息接口中添加accesstoken的输出

    @RequestMapping(value ="/userinfo", method = RequestMethod.GET)
    public Principal user(Principal principal) {
        OAuth2Authentication oAuth2Authentication= (OAuth2Authentication) principal;
        OAuth2AuthenticationDetails auth2AccessToken= (OAuth2AuthenticationDetails) oAuth2Authentication.getDetails();
        System.out.println("currentAccessToken:"+auth2AccessToken.getTokenValue());
        return principal;
    }

使用原生的KeyGenerator的时候,当刷新session后生成的accesstoken因为只使用用户名,域,客户端id作为生成key的参数,因此accesstoken不变,

使用自定义的KeyGenerator的时候,当刷新session后生成的accesstoken,通过随机因子生成使accesstoken每次得以生成新的值。

github:https://github.com/tale2009/spring-security-learning/tree/master/cloudsecurity

Oauth2使用redisTokenStore实现单点登录,多点登陆
干饭两斤半
09-04 3704
前言: 最近开发认证服务的时候,发现使用redisTokenStore之后,多点登陆获取到的token跟第一次获取到的相同;不满足单点登录需求;故写此文章记录处理方法 1.追踪源码,搜寻资料;TokenService默认实现为DefaultTokenServices;查看源代码发现,DefaultTokenServices类的createAccessToken方法是创建token的;这里他创建之前,会根据OAuth2Authentication 去tokenStore中获取存储的token。由于同一个用户的
spring security解决用户权限的方案
11-12
使用spring security解决用户权限的方案
Spring Security真正的实时更新权限方法!无需拦截器、踢出用户,直接修改Redis的内容
qq_37436987的博客
02-05 2839
相信很多用了Spring Security的小伙伴在日常开发中,总会遇到需要实时更新权限的问题,比如,对一个新调入某个部门的员工,我们希望在管理员设置他的权限之后,这位员工立刻就能使用了,而不需要先退出登录然后再重新登录,以达到更好的用户体验。那么,我们能不能在后台悄悄地就把权限更呢?
spring security3动态权限
06-15
struts2 + spring3 + hibernate3 + spring security3 + mysql + tomcat sys_users;sys_roles;sys_authorities;sys_resources;sys_users_roles;sys_roles_authorities;sys_authorities_resources; PS:此项目运行不起来的,请参考代码,呵呵!
高效管理用户权限:深入探索Spring Security的多用户类型认证、授权和Token
资料免费分享,点击名片
10-31 598
1.2 复制org.springframework.security.authentication.dao.DaoAuthenticationProvider的代码,自定义 CustomAuthenticationProvider(注意写法,是实现AbstractUserDetailsAuthenticationProvider并将DaoAuthenticationProvider内容复制到此类里面),然后进行修改retrieveUser()方法,其他不需要动.= null &&!
spring security中动态更新用户的权限
qq_40127376的博客
10-27 5483
业务背景: 管理员更改其他用户权限,正好用户在登陆状态下,无法新管理员刚赋值的权限,只能退出登录,重新登录才能拥有新权限. 业务需求:管理员更改权限,其他用户不退出登录,可以拥有新权限,动态新session 感谢这位博客提供的线索 前提条件需要拥有 @Autowired SessionRegistry sessionRegistry; 如果找不到SessionRegistrybean...
Spring Security真正的实时更新权限方法!无需拦截器、踢出用户,直接修改Redis的内容
最新发布
Tan_LC的博客
01-23 506
相信很多用了Spring Security的小伙伴在日常开发中,总会遇到需要实时更新权限的问题,比如,对一个新调入某个部门的员工,我们希望在管理员设置他的权限之后,这位员工立刻就能使用了,而不需要先退出登录然后再重新登录,以达到更好的用户体验。那么,我们能不能在后台悄悄地就把权限更新,而不需要用户自己访问呢?以上2、3都有一个问题,就是更新权限并不是经常发生的事情,可能用户用了几个月,管理员才会修改一次权限,如果只是为了确认权限没有更新,就多一个步骤,那属实是有点浪费性能。首先,我们的项目采用的是。
打造强大而灵活的认证授权系统:探索Spring Security的多用户类型支持与Token新机制
Reische的博客
10-31 242
1.2 复制org.springframework.security.authentication.dao.DaoAuthenticationProvider的代码,自定义 CustomAuthenticationProvider(注意写法,是实现AbstractUserDetailsAuthenticationProvider并将DaoAuthenticationProvider内容复制到此类里面),然后进行修改retrieveUser()方法,其他不需要动.= null &&!
spring security3新内存中已加载的资源信息
wwwcomcn123的专栏
05-10 2880
目前存在的问题是,系统会在初始化时一次将所有资源加载到内存中,即使在数据库中修改了资源信息,系统也不会再次去从数据库中读取资源信息。这就造成了每次修改完数据库后,都需要重启系统才能时资源配置生效。 解决方案是,如果数据库中的资源出现的变化,需要新内存中已加载的资源信息时,使用下面代码:
SpringSecurity权限认证框架(一)
qq_54421200的博客
01-12 1599
SpringSecurity的使用,自定义校验成功和失败类,通过自定义校验规则,让SpringSecurity变得更加灵活
Spring Security 每次返回新 token
weixin_42555971的博客
11-01 1245
新 token
写个支持多重名section和key的读取…
gao1738的专栏
01-18 1268
最近写了个读取ini配置文件的c++工具,它支持多重名section和key的读取 读取的配置文件如下: # This is a comment [common] name = proxy port = 5588 [default_server] check_user = rpl check_password = 123 master_backup = on [server] alisa =
Spring cloud Oauth2 使用redis作为token存储,防止统一用户多浏览器登录
不会游泳的鱼的博客
04-02 1928
问题描述: 在使用jwt生成token并且使用redis作为tokenStore的时候,需要防止单个用户单客户端多个浏览器同时登录的情况下通过重写 DefaultTokenServices token生成工具来满足需求 只需要注释掉一个判断语句即可 代码如下: @Transactional public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationEx
Oauth2(二)
xbcai1的博客
03-21 572
【代码】Oauth2(二)
java spring security oauth2 动态 修改当前登录用户的 角色以及权限(无需重新登录)
ycg的博客
08-31 4064
/** * 动态修改自身权限,无需重新登录 * @return */ @PostMapping("/oneselfUpdateAuth") public R oneselfUpdateAuth() { //获取当前用户信息 BaseUser users = SecurityUtils.getUser(); //token存放的地方 RedisTokenStore tokenStore = new RedisTokenStore(redisConnectionFac
【SSO单点登录】JWT续签问题 && OAuth2.0 中的refreshToken新机制
老男孩的架构路
10-14 2588
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端,前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这里就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端需要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token里边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
oauth2在JAVA中实现_如何用Spring Security OAuth2 实现登录互踢,面试必学
weixin_42162171的博客
02-24 1982
背景说明一个账号只能一处登录,类似的业务需求在现有后管类系统是非常常见的。 但在原有的 spring security oauth2 令牌方法流程(所谓的登录)无法满足类似的需求。我们先来看TokenEndpoint的方法流程客户端 带参访问 /oauth/token 接口,最后去调用TokenGranter另外要注意:突破高薪Java架构项目经验永远是核心,如果你没有最新JAVA架构实战...
彻底解决spring security oauth2 自动续签token问题
weixin_44330810的博客
12-28 5432
彻底解决spring security oauth2 自动续签token问题
Oauth2授权模式password单一账号并发问题
热门推荐
程序员的蜕变
11-06 1万+
无意中发现了一个巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,而且非常风趣幽默,像看小说一样!觉得太牛了,所以分享给大家。点这里以跳转到教程。 使用场景: app程序为提高安全性,使用oauth2进行授权,授权方式采用password方式,IOS和Android在获取token时使用同一个用户名/密码(未加密)。 存在问题: app与本...
掌握Spring Security数据库权限管理配置
使用数据库进行权限管理是Spring Security一个常见的配置方式,能够提供动态的权限控制能力。本文将详细介绍Spring Security基于数据库的权限管理配置的知识点。 首先,了解Spring Security的基本概念是必要的。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值