Spring oauth2的token timeout

最新推荐文章于 2023-07-26 11:53:21 发布
最新推荐文章于 2023-07-26 11:53:21 发布
阅读量2.6k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: web deployment 文章标签: Spring Security Token Session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pushme_pli/article/details/86502499
本文探讨了如何在基于Spring Boot和Spring OAuth2的应用中实现Session超时功能。通过研究OAuth2的Token机制,发现没有内置的Token超时功能。作者提出了一种解决方案,即在验证Token时更新其过期时间,从而达到类似Session超时的效果。这一方法通过自定义TokenService并在OAuth2ClientAuthenticationProcessingFilter中修改DefaultTokenServices的loadAuthentication方法来实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这几天绕了一个大圈子,内容其实很简单,想为后台基于Spring boot, Spring oauth2的应用加上session timeout的功能。

整个应用架构比较简单:

  • UI
  • 基于Spring oauth2的auth service
  • 基于Spring boot的service

众所周知,oauth2下是使用token作为认证的凭证, 基本流程是这样的:

上图所示模块跟我们架构中的模块一一对应,Client对应UI, Resource Server对应我们基于Spring boot的service,Resource Owner对应的是User, 至于Authorization Server就是Auth Server了。

Session timeout的功能大家都很熟悉了吧:

用户登录后如果在一定的时间内(比如1小时)没有任何操作,那么session将timeout, 用户在这段时间后再次操作将被终止并将页面转至登录页面要求再次登录。

一开始觉得应该是个简单的需求,毕竟Spring oauth2是一个很成熟的产品了,在采用之初就接触到Access_token, Refresh_token等等概念了,首先从Refresh_token下手,毕竟长得像能解决问题的样子。

Refresh Token:

研究之后,发现这货并不能解决问题:

Auth Service在用户认证成功后会发放Access Token和Refresh Token, Access Token的有效时间比较短,而Refresh Token有效时间长。

其实Refresh token的作用是给Client端一个机会,可以在Access Token

最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring Security OAuth2入门Demo
诺浅的专栏
11-17 1808
写在前面 项目基于Spring Cloud,需要你对Spring Cloud有所了解,篇幅所限,本文只会列出关键代码,文末会给出完整的项目GIT地址,建议下载下来导入到idea中再进行查看。 项目的目录结构 其中auth-server为认证模块,client-user为资源模块。 auth-server模块配置 首先需要导入oauth2的包 <dependency> <groupId>org.springframework.cloud</groupId>
OAuth2spring-security-oauth2
dev3932的博客
12-24 759
OAuth2spring-security-oauth2OAuth2OAuth2是什么OAuth2中4种授权模式spring-security-oauth2spring-security-oauth2是什么搭建spring-security-oauth2案例环境版本pom.xmlapplication.yml目录结构密码模式获取token访问受保护的资源授权码模式获取code获取token访问受保护的资源结语 OAuth2 OAuth2是什么 关于这块概念可以参考: https://www.jianshu
Spring oauth2token timeout(修改之前不完美的方案)
pushme_pli的专栏
02-19 3018
上一个方案:https://blog.youkuaiyun.com/pushme_pli/article/details/86502499 今天上文提到的实现token timeout的解决方案出了问题:在同时发送若干个request的时候产生了异常,非常常见的JDBC DuplicateKeyException 因为使用了Spring oauth2的JdbcTokenStore(https://docs...
spring oauth2 让某个账号token过期
qq_34884729的博客
05-28 6245
终于要折腾oauth2了,感觉平常顺便玩玩还真没什么难度,但对于一些定制功能,什么N种账号类型,什么自定义返回体之类云云。浪费个几小时弄出下面一玩意,算是补充一下知识,在网上搜了一圈感觉也别人说--让某个账号token过期(带redis)。 打开工具看到那几个存在redis的令牌,顺便删一个,要不登录不了,要不访问不了,删不全就是麻烦,让他自己带token访问自己登出倒是简单,但对于管理权限系统...
Laravel oauth2 访问oauth/tokentoken 无响应
Jayj1997的博客
09-07 1636
Laravel oauth2 访问oauth/tokentoken 无响应 场景是laravel 使用了php artisan serve, 由api发送到后端, 后端发送guzzle请求到oauth/token并返回token. 本想测试一下能否连上,就不需要再配置apache了. 结果登录获取token这里卡住. 如果你遇到了与我相似的问题, 请确认自己使用的是laravel自带的serve而不是配置了nginx(no single-thread), apache. 错误的原因 由前端发送的请求到后端
调用超时或找不到服务器,调用OAuth2.0通过code获取token无响应,报连接服务器超时错误...
weixin_28999575的博客
07-29 946
senparclsx15 个回复• 查看 443 次• 49天前sy8746811814 个回复• 查看 348 次• 95天前magiboy13 个回复• 查看 686 次• 107天前yintingji12 个回复• 查看 656 次• 117天前LXL.WxDeveloper11 个回复• 查看 318 次• 69天前zxz5249 个回复• 查看 396 次• 127天前tech51189...
SpringSecurity Oauth2 - 11 只要请求访问后台接口就延长访问令牌过期时间
你今天真好看呀
12-16 2504
系统使用的是SpringSecurity Oauth2框架做认证授权中心,当请求访问系统受限资源时都会判断请求携带的token是否正确,所以可以自定义CustomTokenExtractor继承BearerTokenExtractor,在提取到token后,通过token获取redis中存储的控制页面退出登录时长的key和用于延长token过期时长的key,将控制页面过期时长的key的过期时间重新设置为延长token过期时长的key的value值。这个续期时长要和页面自动退出登录的时长一致。
spring-security-oauth2做前后端分离实现无感知token续期
单筱风的博客
01-21 2204
1.问题由来 接触java已经将近3年现在大四在实习了,以前自己写的项目最多只用到了spring-security做权限认证其中的token是用jwt实现的,也考虑和使用过响应头返回新token前端判断替换token来实现访问续期的,但是总觉得不是很方便。 现在正在学习使用spring-security-oauth2做认证和授权,登录返回的AccessToken和RefreshToken可以很好地帮助我实现token续期。其中用到了oauth2的相关知识,在此不做解释。 2.前端vue处理 请求响应拦截添加
OAuth2中 access_token,refresh_token的各类配置与使用场景FAQ
weixin_45738731的博客
05-17 4011
过去几年的OAuth2经历与使用,总结一下,记录有关 access_token, refresh_token的各类配置与场景适应,到此以自问自答的形式把这些琐碎的点总结下来。说明:以下问答中的截图或表等信息以中配置为参考。
【全栈开发指南】OAuth2授权获取token调试接口的方式
全栈程序猿的专栏
07-07 9501
在我们实际应用接口的调用调试过程中,需要用到token或者刷新token,GitEgg支持OAuth2.0协议进行认证授权,这里介绍说明如何通过Postman获取token和refresh_token并进行接口调试。
【笔记】Spring Security Oauth2-请求方式无法获取token
掘金者说
04-01 5431
添加json方式请求获取token oauth2通过/oauth/token接口请求获取token,而源码中参数默认采用的是@RequestParam(x-www-form-urlencoded),而第三方请求中被转换成@RequestParam(json),到时无法获取token @RequestMapping(value = "/oauth/token", method=RequestMeth...
【SSO单点登录】JWT续签问题 && OAuth2.0 中的refreshToken刷新机制
老男孩的架构路
10-14 2502
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端,前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这里就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端需要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token里边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
简单几行代码,优雅的实现 SpringBoot 鉴权
公众号-老炮说Java
07-25 340
最近在做登录、授权的功能,一开始考虑到的是spring boot + spring security,但spring security太重,而我们是轻量级的项目,所以,spring security不适合我们。而后考虑spring boot + shiro,但shiro自带的aop会影响spring boot的aop,所以,shiro也不适合我们。后来浏览github时,发现Sa-Token这个框...
LiveGBS流媒体平台GB/T28181常见问题-TOKEN有效期是多久如何设置token有效期StreamToken和URLToken
青柿视频流媒体的博客
07-26 744
用于URLToken加密默认不用配置token_key , 每次启动服务的时候,都会生成一个新的key。如不配置固定的, 重启之后之前获取的token都会无效。配置后需重启LiveCMS后生效。livecms.ini -> [http] -> token_key=随机字符串[http];token的加密字符串,默认每次启动服务随机。
解决token超时问题
weixin_45090657的博客
03-18 2436
1.token超时问题,主要是会出现一个token失效的问题如果查看报错信息就会发现出现了,那么我们会在响应拦截器里,做出响应的选择,具体实现步骤为。
SpringSecurity提示Token过期返回错误代码而不是报系统繁忙的处理
Qyq0498的博客
02-18 5217
SpringSecurity对于每一个接口请求都会经过一个鉴权访问的Filter类,故Token过期的设置就在这里面处理啦。 第一步就是Security的入口啦,配置好SecurityConfig,注入所需要的所有Filter类 以下是我项目中的配置,仅供参考哈 package com.daqing.financial.hrauth.config; import com.daqing.financial.hrauth.filter.AdminAuthenticationProcessingFilter;
PHP-OSS:从STS获取SecurityToken
weixin_41429587的博客
06-24 2819
找了一个下午整理了一下步骤。 首先开通阿里云OSS 然后创建bucket 接下来,创建子用户,如图: 记住保存AccessKeyID和AccessSecret. 再来创建策略 { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:ListBuckets", "oss:Ge
Spring Security oAuth2.0设置access_token和refresh_token的有效时长
热门推荐
崔向阳@李晓的博客
07-04 1万+
oAuth2.0中access_token默认有效时长为12个小时,refresh_token默认时长为30天。在实际运用中需要根据需求设置有效时长。 在AuthorizationServerConfigurerAdapter,重写一个TokenServices, @Override public void configure(AuthorizationServerEndpo...
【认证服务】学习笔记
jams3368的博客
10-10 214
1
satoken oauth2设计
最新发布
03-11
- 有效期可配置,例如:`$$ \text{access\_token\_timeout} = 7200 \, \text{秒} $$`。 2. **刷新令牌 (`refresh_token`)**: - 长时效令牌,用于获取新的 `access_token`。 - 通过 `refresh_token` 接口自动刷新...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值