Spring Security OAuth2中Resource Server JwtDecoder时钟偏移量设置

最新推荐文章于 2025-12-22 09:33:02 发布
原创 最新推荐文章于 2025-12-22 09:33:02 发布 · 295 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端

部署运行你感兴趣的模型镜像

一、问题描述

在集成 Spring Security OAuth2Resource Server 并采用 JWT 模式后,实际使用过程中发现 JWT 的失效时间(exp)并不是严格按照令牌中的 exp 属性来判定。多次测试后发现,JWT 实际失效时间比 exp 属性晚了约1分钟。这意味着,令牌过期后,服务端仍会有一分钟的“宽限期”允许访问。这种行为可能导致安全隐患,尤其是在对令牌有效期要求严格的场景下。

二、如何修改JwtDecoder的时间偏移量

通过分析 Spring Security OAuth2 的源码,包括 OAuth2ResourceServerConfigurer、JwtConfigurer、JwtDecoder 以及 NimbusJwtDecoder,发现 JWT 的时间校验逻辑由 JwtTimestampValidator 控制。默认情况下,JwtTimestampValidator 会有60秒的时钟偏移量(Clock Skew),用于容忍服务器之间的时间不同步。
在这里插入图片描述

NimbusJwtDecoder 支持自定义 JwtValidator,而 JwtTimestampValidator 的构造方法可以传入 Duration 类型的偏移量。
在这里插入图片描述

要严格按照 JWT 的 exp 属性判定令牌有效期,可以将时钟偏移量设置为0,只需将其设置为 Duration.ZERO 即可,具体做法如下:

import org.springframework.beans.BeansException;
import org.springframework.beans.factory.config.BeanPostProcessor;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.jwt.JwtTimestampValidator;
import org.springframework.security.oauth2.jwt.JwtValidators;
import org.springframework.security.oauth2.jwt.NimbusJwtDecoder;

import java.time.Duration;

@Configuration
public class MyJwtDecoderConfig implements BeanPostProcessor {

    @Override
    public Object postProcessAfterInitialization(Object bean, String beanName) throws BeansException {
        if (bean instanceof NimbusJwtDecoder nimbusJwtDecoder) {
            // 设置JwtValidator的时间偏移量为0,令JWT严格按照exp属性判定有效期
            nimbusJwtDecoder.setJwtValidator(JwtValidators.createDefaultWithValidators(new JwtTimestampValidator(Duration.ZERO)));
            return nimbusJwtDecoder;
        }
        return bean;
    }
}

您可能感兴趣的与本文相关的镜像

Seed-Coder-8B-Base

Seed-Coder-8B-Base

文本生成
Seed-Coder

Seed-Coder是一个功能强大、透明、参数高效的 8B 级开源代码模型系列,包括基础变体、指导变体和推理变体,由字节团队开源

2022Java经典面试题总结(附问题和答案)
AlanChen的博客
05-20 4238
Java基础  面向对象 封装:封装的意义,在于明确标识出允许外部使用的所有成员函数和数据项,内部细节对外部调用透明,外部调用无需修改或者关心内部实现 继承:继承基类的方法,并做出自己的改变和/或扩展,子类共性的方法或者属性直接使用父类的,而不需要自己再定义,只需扩展自己个性化的 多态:基于对象所属类的不同,外部对同一个方法的调用,实际执行的逻辑不同  JDK、JRE、JVM之间的区别 JDK:Java Develpment Kit java 开发工具 JRE:Java Runt
Spring Boot 2.x实战84 - Spring Security 8 - OAuth 2.0Resource Server(基于JWT
热门推荐
汪云飞记录本
06-29 1万+
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
springcloud中文手册API
wudaoshihun的博客
10-12 6062
Spring Cloud 目录 特性 云原生应用程序 Spring Cloud上下文:应用程序上下文服务 引导应用程序上下文 应用程序上下文层次结构 改变引导位置Properties 覆盖远程Properties的值 自定义引导配置 自定义引导属性源 环境变化 刷新范围 加密和解密 端点 Spring Cloud Comm...
花落八股知多少
qq_39415440的博客
05-31 1744
八股八股走起来
靠着这Java面试210题,成功拿下了10多家国内知名大厂Offer,10万字精华全部分享给大家
Coding_Zi的博客
03-08 1552
如何让面试官在短短的几十分钟内认可你的能力? 如何在最短的时间内收获Java技术栈最核心的知识点?
2025Java面试
weixin_42533448的博客
05-22 487
接口幂等是相同请求参数的情况下,无论请求多少次接口,队结果的影响只会修改一次实现接口幂等可以通过以下几种方法:1、redis setNX,参数唯一值存入redis 2、状态机 状态单向流动的场景,请求参数加上状态 3、数据库唯一索引,消息体加密后插入数据库,插入冲突则为重复消息setIfAbsent 方法通过Redis的SET命令的 NX(Not Exists)来实现。当 key 已经存在时,操作不会执行,从而保证了操作的原子性。@Autowired// 加锁方法// 解锁Lua脚本。
2020-09-15 JAVA面试题整理
weixin_44038860的博客
09-15 3358
2020年字节跳动Java面试题附答案解析 前言 个人觉得面试也像是一场全新的征程,失败和胜利都是平常之事。所以,劝各位不要因为面试失败而灰心、 丧失斗志。也不要因为面试通过而沾沾自喜,等待你的将是更美好的未来,继续加油! 本篇分享的面试题内容包括:Java、MyBatis、ZooKeeper、Dubbo、Elasticsearch、Redis、MySQL、SpringSpring Boot、Spring Cloud、RabbitMQ、Kafka、Linux 等技术栈。 一、Java基础系列面试题 1、面
Open-AutoGLM授权异常怎么办:3步精准定位权限问题并彻底解决
AlgoFun的博客
12-19 713
快速解决Open-AutoGLM权限授权失败问题,提供清晰处理路径。涵盖API调用、企业微信集成等常见场景,通过检查令牌、核验权限范围、重置授权三步精准定位故障。方法实用高效,适配多环境部署,显著提升调试效率。完整掌握Open-AutoGLM 权限授权失败处理步骤,值得收藏。
资料搜集-JAVA系统的梳理知识
java技术专家全栈成长之路
01-06 3410
<!-- TOC --> - [Java](#java) - [基础](#基础) - [并发](#并发) - [JVM](#jvm) - [Java8 新特性](#java8-新特性) - [代码优化](#代码优化) - [网络](#网络) - [操作系统](#操作系统) - [数据结构与算法](#数据结构与算法) - [数据库](#数据库)...
api网关(kong&apisix)对比
General_zy的博客
03-09 5123
APISIX 和 Kong 都是流行的开源API网关项目,它们在功能、架构和生态系统等方面有一些区别。下面是一个对比它们的优劣势的概览,但需要注意的是,这些优劣势在不同的使用情境下可能会有所不同。APISIX使用Nginx作为底层引擎,因此具有卓越的性能和吞吐量,适用于高流量环境。APISIX支持动态配置,可以实时更改路由、插件和策略,无需重启网关。APISIX提供了丰富的插件系统,允许用户根据需要轻松地添加和定制功能,如认证、限流、监控等。
Spring Security OAuth2 实现登录互踢的示例代码
08-19
Spring Security OAuth2 中,TokenStore 是一个负责存储和管理令牌的组件,通过调用 TokenStore 的 storeAccessToken 方法,可以将生成的令牌存储在数据库中。_tokenStore.removeAccessToken 方法用于删除原有的...
精选资源
spring security oauth2.0 (讲义+代码)
03-10
通过实现`OAuth2AccessDecisionManager` 和 `OAuth2AuthenticationManager`,我们可以基于用户角色、权限或者自定义逻辑来决定是否允许访问资源。 在实际项目中,我们还需要考虑安全性问题,比如防止CSRF攻击,这...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
然而,在开发过程中,我们会发现由于Spring Security OAuth2的组件特别全面,这样就导致了扩展很不方便或者说是不太容易直指定扩展的方案。例如,我们需要集成短信验证码登录、第三方登录、图片验证码登录、微信小...
精选资源
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-ai快速上手,接入deepseek大模型
2301_78646673的博客
12-17 952
本文介绍了如何在Spring Boot项目中快速集成Spring-AI模块并调用DeepSeek大模型实现AI问答功能。文章对比了Spring-AI和LangChain4j两大AI框架的适用场景,推荐Spring Boot项目优先选择Spring官方维护的Spring-AI。具体实现步骤包括:引入spring-ai-bom依赖管理、添加DeepSeek模型依赖、配置API密钥、以及两种调用方式(阻塞式和流式输出)的代码示例。此外,还详细说明了模型参数配置方法(如温度、最大Token数等),并介绍了通用Cha
Mac 上重新安装了Cursor 2.2.30,重新配置 springboot 过程记录
appearappear的博客
12-18 153
环境变量中,配置好 JAVA_HOME cursor会自动使用这个 javase, 不需要在setting.json 指定 Java 版本。cursor 运行需要依赖更改版本的 javase 根据 cursor 提示安装就好,它会在.cursor 目录下下载一个高版本的使用。但是不同的项目使用不同的 javase 时可在 setting.json 中配置。环境变量中、配置好 MAVEN_HOME 就好了,cursor 自动扫描到。## 新版本的Cursor配置 java 更简单了,但是花了很长时间
【微服务 Day1】SpringCloud实战开发(Mybatis-plus + Docker)
weixin_61639349的博客
12-17 1086
Mybatis-plus + docker保姆级教程
SpringBoot0-1集成Minio对象存储
最新发布
盹猫的博客
12-22 688
本文详细介绍了SpringBoot集成Minio对象存储的完整流程。主要内容包括:Minio服务下载运行方法、SpringBoot环境配置(依赖引入和yml配置)、核心工具类实现(文件上传下载、权限管理、临时链接生成等)。文章通过具体代码示例,展示了如何利用MinioClient实现文件管理功能,包括私有/公开访问权限设置、Nginx代理配置等实用技巧。该方案可有效解决项目中不同安全级别的文件存储需求,为开发者提供了一套完整的对象存储集成方案。
Spring AI实战:SpringBoot项目结合Spring AI开发——Tool Calling(工具调用)详解与实战
weixin_51360020的博客
12-19 595
接口提供了 AI 模型了解工具可用性所需的​​信息,包括工具名称、描述和输入模式。每个 ToolCallback 实现都必须提供一个 ToolDefinition 实例来定义工具。允许您使用默认实现()构建 ToolDefinition 实例。},"unit": {},本章讲解了Spring AI中的Tool Calling,文中不仅介绍了方法(Method)和函数(Function)两种模式,而且还分析了相应的源码。
Spring Security OAuth2resource_id的配置与验证机制解析
资源摘要信息:"在Spring Security OAuth2的架构体系中,系统被划分为两个核心角色:Authorization Server(认证服务器)和Resource Server(资源服务器)。这种分离式设计是现代微服务架构中实现统一身份认证与细...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

罗小爬EX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值