spring oauth2获取token时WARN:Could not decode JSON for additional information: BaseClientDetails解决办法

最新推荐文章于 2025-05-15 08:38:39 发布
原创 最新推荐文章于 2025-05-15 08:38:39 发布 · 1.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文详细解析了OAuth流程中oauth_client_details表的additional_information字段,强调其必须为JSON格式,并提供了前端处理建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. 错误描述
  2. 简述:oauth_client_details表中additional_information字段默认为null,ClientDetails实体类中类型为Map<String,Object>
  3. 以下是官方文档对该字段的说明
    1. additional_information这是一个预留的字段,在Oauth的流程中没有实际的使用,可选,但若设置值,必须是JSON格式的数据,如:{“country”:“CN”,“country_code”:“086”}按照spring-security-oauth项目中对该字段的描述 Additional information for this client, not need by the vanilla OAuth protocol but might be useful, for example,for storing descriptive information. (详见ClientDetails.java的getAdditionalInformation()方法的注释)在实际应用中, 可以用该字段来存储关于客户端的一些其他信息,如客户端的国家,地区,注册时的IP地址等等.create_time 数据的创建时间,精确到秒,由数据库在插入数据时取当前系统时间自动生成(扩展字段)

       

  4. 所以该字段存储时格式必须为 json格式数据 
    1. {“country”:“CN”,“country_code”:“086”}

       

  5. oauth_client_details表数据是在页面维护的,当前端传入additional_information值为空并不是为null或者不符合json格式,所以用该组参数获取token时会WARN警告

  6. 解决办法:

    1. 传入json格式参数

    2. 前端不传入该字段,使用数据库默认为null

城之于域
关注
Spring Boot入门教程(四):配置文件
人不风流枉少年
03-20 4680
配置方式 每个starter都有自己默认的配置,如果需要改变默认值,可以在其他地方配置来覆盖掉默认的值,覆盖默认的配置有多种方式,每种方式的优先级也不同,如果在多个地方配置则优先使用优先级高的值,其中命令行参数优先级最高, 其中大部分参数一般都配置在属性文件application.properties中,属性文件即可以覆盖starter中默认的值,也可以自定义值 在命令行行输入的参数 SPR...
springboot集成oauth2报错
zsx18273117003的博客
06-05 2415
参照官方文档:https://spring.io/guides/tutorials/spring-boot-oauth2/#_social_login_simple 引入的项目依赖: <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot...
Spring OAuth2 Could not decode JSON for additional information: BaseClientDetails
小皮的博客
10-08 1196
错误消息: 2019-10-08 14:48:16.703 WARN o.s.s.o.p.c.JdbcClientDetailsService : Could not decode JSON for additional information: BaseClientDetails [clientId=clientIdPassword, clientSecret=$2a$...
Could not decode JSON for additional information: BaseClientDetails
it佳佳的博客
04-21 809
问题 oauth_client_details表数据是在页面维护的,当前端传入additional_information值为空并不是为null或者不符合json格式,所以用该组参数获取tokenWARN警告 解决办法 数据库执行 update oauth_client_details set additional_information=NULL ...
spring-security问题记录---Could not decode JSON for additional information: BaseClientDetails
巡山小妖008
12-03 287
错误信息 2019-12-03 22:18:37.239 WARN 19120 --- [nio-8100-exec-4] o.s.s.o.p.c.JdbcClientDetailsService : Could not decode JSON for additional information: BaseClientDetails [clientId=c1, clientS...
Spring Security Oauth2核心组件之ClientDetailsService
clyu的博客
01-10 2618
一、客户端 public interface ClientDetails extends Serializable { String getClientId();//客户端id Set<String> getResourceIds();//此客户端可以访问的资源。如果为空,则调用者可以忽略 boolean isSecretRequired();//验证此客户端是否需要secret String getClientSecret();//获取客户端的secret bool
Spring Security Oauth2 在资源服务器如何获取jwt中的额外信息
cauchy6317的博客
12-24 6965
在上一篇Spring Security Oauth2 中实现TokenEnhancer向jwt中添加额外信息中,笔者向大家介绍了如何向jwt中存额外信息(extraInfo) 接下来这篇blog,笔者将和大家一起探讨这些问题,希望对各位有帮助,如有不正确的地方,请大家指出。 1.auth_server如何使用TokenEnhancer添加extraInfo? 2.resource_server如...
Jira报错「401 Unauthorized」:OAuth2.0认证与API Token的安全配置
最新发布
shejizuopin的博客
05-15 667
核心治理原则分层防护:在API Gateway、应用层、数据库层实现多级身份验证动态权限:基于RBAC(角色访问控制)或ABAC(属性访问控制)动态分配权限日志审计:记录所有API调用日志,分析异常请求模式。
OAuth2+springCloud整合笔记(DB管理token策略超详细)
雾猩CODER的博客
10-08 617
OAuth2+security+springcloud整合:主记录mysql数据库token策略一、新建springboot项目选择pom类型,按自己的需求选择,pom详情如下图:二、新建OAuth认证服务器,创建boot项目省略。。。三、测试效果四、补上eureka注册中心五、番外小知识 一、新建springboot项目选择pom类型,按自己的需求选择,pom详情如下图: 还有个maven的build插件图省略 二、新建OAuth认证服务器,创建boot项目省略。。。 pom文件如下: <?x
Oauth2
分享身边生活经验blog
06-26 919
四、优化 优化点如下: 兼容性问题: 因为既要兼容原始登陆模块,又要兼容新建的管理员模块,所以需要判断是原始用户还是管理员用户。 验证token需要判断是认证服务颁发的令牌还是老登陆系统颁发的令牌并分别验证。 分布式问题:ExceptionTransactionFilter中将request请求信息保存到session中,如果是分布式部署,会有访问不到session的问题发生。 异常返回问题:资源服务器自定义异常返回。 4.1 兼容性优化 生成令牌 逻辑 音箱作为第三方需要通过授
spring cloud笔记 oauth2授权服务 clientDetails配置源码
路过君的博客
03-23 3734
@EnableAuthorizationServer ... @Import({... AuthorizationServerSecurityConfiguration.class}) ... AuthorizationServerSecurityConfiguration ... @Import({ ClientDetailsServiceConfiguration.class... }) ....
OAuth2相关数据表字段的详细说明
Janche的博客
04-27 1万+
OAuth2 数据库表说明文档 以下对OAuth2数据库字段的功能做详细说明:(此文档添加了create_time扩展字段) 表名 字段名 字段说明 oauth_client_details...
OAuth2的简单使用
weixin_41029286的博客
02-15 1405
OAuth2 协议:认证服务器允许⽤户授权第三⽅应⽤访问他们存储在另外的服务提供者(用户服务)上的信息,⽽不需要将⽤户名和密码提供给第三⽅应⽤或分享他们数据的所有内容 Spring Cloud OAuth2Spring Cloud 体系对OAuth2协议的实现,可以⽤来做多个微服务的统⼀认证(验证身份合法性)授权(验证权限)。通过向OAuth2服务(统⼀认证授权服务)发送某个类型的grant_type进⾏集中认证和授权,从⽽获得access_token(访问令牌),⽽这个token是受其他微服务信任
Spring Boot+OAuth2,如何自定义返回的 Token 信息?
2401_84049023的博客
04-17 934
文章中涉及到的知识点我都已经整理成了资料,录制了视频供大家下载学习,诚意满满,希望可以帮助在这个行业发展的朋友,在论坛博客等地方少花些间找资料,把有限的间,真正花在学习上,所以我把这些资料,分享出来。相信对于已经工作和遇到技术瓶颈的朋友们,在这份资料中一定都有你需要的内容。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />
java oauth2登录以及权限_技术分享单点登录系列(3) 一个配置OAuth2的平台
weixin_39634351的博客
11-21 531
概述之前已经通过本系列两篇文章《单点登录系列(1)- OAuth2实施方案 》、《单点登录系列(2)- Spring OAuth2项目搭建》,跟大家介绍了OAuth2的单点登录方案,以及如何用Spring搭建OAuth2项目。对于有些朋友来说,单点登录的这个概念还是比较抽象。我想今天这篇文章,配合文中的一个配置OAuth2的Web平台,争取让不会代码的人也能轻松理解OAuth2的单点登录...
SpringSecurity OAuth2自定义ClientDetails
07-29 5096
最近在做SpringSecurityOAuth2的自定义ClientDetails目前实现了两种方式 实现 ClientDetailsService 并把值传入BaseClientDetails然后返回 @Override public ClientDetails loadClie...
Spring Security Oauth2 令牌增加额外信息
Little_fxc的博客
06-14 2564
Spring Security Oauth2 令牌增加额外信息 在实现了 Oauth2 后,我想要在令牌增加中额外信息,那么该怎么做? 下面是我的做法,首先实现 org.springframework.security.oauth2.provider.token.TokenEnhancer 接口: package com.fengxuechao.examples.auth.config; imp...
Spring Security OAUTH2 获取用户信息
热门推荐
m0_37834471的博客
08-19 7万+
1.user-info-uri 与 token-info-uri 作用:二者皆是为了check token,并且顺带返回了用户信息。配置信息位置在资源服务器上。 解释:下面代码列举的都是token-info-uri,user-info-uri不解释。user-info-uri原理是在授权服务器认证后将认证信息Principal通过形参绑定的方法通过URL的方式获取用户信息。当然它也有配套的Us...
那么退出登录怎么让这个token失效呢
02-27
<think>嗯,用户之前问了关于JWT Token续期的问题,现在接着问退出登录如何让Token失效。JWT本身是无状态的,所以传统的基于服务端Session的注销方式不适用。用户可能需要知道几种常见的失效方法。 首先,我需要回忆JWT的特性。因为JWT的有效期通常由其中的过期间(exp)字段控制,服务端不会保存Token的状态,所以单纯的删除客户端Token并不能真正让它失效,除非等到自然过期。但用户可能希望在退出立即让Token失效,这就需要额外的机制。 接下来,可能的解决方案包括:维护一个黑名单、使用短期Token、改变签名密钥、或者结合数据库存储状态。其中黑名单是比较常见的做法,但需要考虑存储和性能问题。另外,修改密钥会影响所有已发放的Token,可能不太合适。而短期Token虽然减少了风险,但用户可能需要立即失效的能力。 然后,用户可能的应用场景是什么?如果是高安全要求的系统,可能需要更严格的措施,比如每次注销都记录黑名单,并且每次验证Token检查黑名单。但如果是普通应用,可能使用黑名单加上较短的过期间即可。 还要考虑实现细节,比如使用Redis存储黑名单,设置合理的TTL,避免内存泄漏。同,在Spring Security中如何配置TokenStore,添加黑名单检查的逻辑。例如,在资源服务器的配置中,自定义Token增强器或过滤器,在验证Token查询黑名单。 另外,用户可能需要代码示例,比如如何实现黑名单的存储和验证。需要提供具体的Java代码片段,展示如何用Spring Security和Redis来实现。同,要注意处理并发和性能问题,比如使用高效的存储结构,设置自动过期等。 还有,用户可能关心安全性,比如黑名单存储的加密,或者如何防止恶意用户频繁注销导致存储膨胀。需要建议设置合理的黑名单过期间,比如稍长于Token的最长有效期,避免长期存储。 最后,需要比较不同方法的优缺点,帮助用户根据实际情况选择。例如,黑名单实现简单但增加存储开销,而短期Token无需存储但可能不够及。用户可能需要根据系统需求和资源情况做出权衡。</think>在JWT无状态特性下实现立即失效,可通过以下方案实现: ### 一、核心实现方案(黑名单机制) ```java // 1. 创建Redis黑名单存储 @Bean public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory factory) { RedisTemplate<String, Object> template = new RedisTemplate<>(); template.setConnectionFactory(factory); template.setKeySerializer(new StringRedisSerializer()); template.setValueSerializer(new GenericJackson2JsonRedisSerializer()); return template; } // 2. 实现黑名单服务 @Service public class TokenBlacklistService { @Autowired private RedisTemplate<String, Object> redisTemplate; public void addToBlacklist(String token, long expiresIn) { // 计算剩余有效间 long ttl = getRemainingValidity(token) > 0 ? getRemainingValidity(token) : 60; redisTemplate.opsForValue().set("blacklist:" + token, true, ttl, TimeUnit.SECONDS); } private long getRemainingValidity(String token) { Claims claims = Jwts.parser().parseClaimsJwt(token).getBody(); return claims.getExpiration().getTime() - System.currentTimeMillis(); } } // 3. 登出接口实现 @PostMapping("/logout") public ResponseEntity<?> logout(@RequestHeader("Authorization") String authHeader) { String token = authHeader.replace("Bearer ", ""); tokenBlacklistService.addToBlacklist(token); return ResponseEntity.ok().build(); } // 4. 配置全局安全验证 @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and() .oauth2ResourceServer() .jwt() .jwtAuthenticationConverter(jwtAuthenticationConverter()) .and() .and() .addFilterBefore(new BlacklistFilter(), BearerTokenFilter.class); } private JwtAuthenticationConverter jwtAuthenticationConverter() { JwtGrantedAuthoritiesConverter converter = new JwtGrantedAuthoritiesConverter(); converter.setAuthorityPrefix(""); JwtAuthenticationConverter jwtConverter = new JwtAuthenticationConverter(); jwtConverter.setJwtGrantedAuthoritiesConverter(converter); return jwtConverter; } } // 5. 黑名单过滤器 public class BlacklistFilter extends OncePerRequestFilter { @Autowired private RedisTemplate<String, Object> redisTemplate; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = extractToken(request); if (token != null && redisTemplate.hasKey("blacklist:" + token)) { response.sendError(HttpStatus.UNAUTHORIZED.value(), "Token revoked"); return; } filterChain.doFilter(request, response); } private String extractToken(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` ### 二、增强型方案对比 | 方案 | 实现复杂度 | 性能影响 | 失效及性 | 存储开销 | |--------------------|------------|----------|------------|----------| | 黑名单机制 | ★★☆ | 低 | 实 | 中 | | 短期Token(5分钟) | ★☆☆ | 无 | 延迟 | 无 | | 密钥轮换 | ★★★ | 高 | 实 | 无 | | 数据库状态位 | ★★☆ | 中 | 实 | 高 | 推荐组合方案:**黑名单 + 短有效期(30分钟) + 自动续期** ### 三、安全增强配置 1. Redis安全配置 ```yaml spring: redis: ssl: true password: ${REDIS_PASSWORD} timeout: 5000 lettuce: pool: max-active: 50 max-idle: 10 ``` 2. JWT签名强化 ```java @Bean public JwtDecoder jwtDecoder() { return NimbusJwtDecoder.withSecretKey( new SecretKeySpec(Base64.getDecoder().decode(secret), "HmacSHA512") ).build(); } ``` 3. 防御性代码示例(防重复登出) ```java public void addToBlacklist(String token, long expiresIn) { if (redisTemplate.opsForValue().setIfAbsent("blacklist:" + token, true, expiresIn, TimeUnit.SECONDS)) { log.info("Token blacklisted: {}", token); } else { log.warn("Duplicate logout attempt for token: {}", token); } } ``` ### 四、运维监控建议 1. Prometheus监控指标配置 ```java @Bean public MeterRegistryCustomizer<MeterRegistry> metrics() { return registry -> { registry.gauge("jwt.blacklist.size", redisTemplate.keys("blacklist:*").size()); }; } ``` 2. 黑名单自动清理策略 ```java @Scheduled(fixedRate = 3600000) // 每小清理 public void cleanExpiredEntries() { Set<String> keys = redisTemplate.keys("blacklist:*"); keys.forEach(key -> { if (redisTemplate.getExpire(key) <= 0) { redisTemplate.delete(key); } }); } ``` ### 五、前端配合方案 ```javascript // 前端登出逻辑增强 function logout() { // 1. 清除本地存储 localStorage.removeItem('access_token'); localStorage.removeItem('refresh_token'); // 2. 调用后端登出接口 fetch('/api/logout', { method: 'POST', headers: { 'Authorization': `Bearer ${getAccessToken()}` } }); // 3. 强制页面刷新(清除内存中的残留) window.location.reload(true); } // 4. 添加心跳检测(每5分钟检查登录状态) setInterval(() => { fetch('/api/check-token', { headers: { 'Authorization': `Bearer ${getAccessToken()}` } }).catch(() => { localStorage.clear(); window.location.href = '/login'; }); }, 300000); ``` 建议采用Redis黑名单方案配合以下最佳实践: 1. 设置JWT有效期不超过1小 2. 每次请求携带请求ID并校验唯一性 3. 重要操作要求二次认证 4. 监控黑名单增长率(异常登出预警) 5. 使用HTTP Only + Secure的Cookie存储Refresh Token 这种方案在保证安全性的同,兼顾系统性能,适合中大型分布式系统。对于更高安全要求的场景,可结合设备指纹识别或IP绑定技术增强校验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值