Oauth2.0实现token刷新功能(二)

已于 2022-05-10 17:41:28 修改
阅读量4.6k 收藏 12
点赞数 2
分类专栏: java后台功能模块 文章标签: java 后端
于 2022-04-22 18:27:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41157896/article/details/124351822
版权

个人技术分享交流群:1125844267,大家可以进来唠嗑闲聊

文章目录

前言

之前写过一篇“Oauth2.0实现token刷新功能”,发现大家阅读的还是特别多,那个是基于Spring Cloud实现的刷新功能,现在将它改为基于普通过滤器实现token刷新。

直接上代码

基本思路还是跟之前一样,过滤器拦截请求验证token,token过期后请求单点登录服务器换取新的access_token和refresh_token,将两个token放到过滤器返回体的头部。从而不影响本次请求,同时还能在本次请求的过程中做到无痕刷新token。

@Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        //请求的全路径
        String url = request.getRequestURI();
        log.info("拦截到的请求路径:" + url);
        AtomicBoolean matchFlag = new AtomicBoolean(true);
        //配置文件配置的不需要过滤器拦截的请求路径
        List<String> urlList = interceptorPathBean.getInclude();
        for (String excludeUrl : urlList) {
            if (url.startsWith(excludeUrl)) {
                matchFlag.set(false);
                break;
            }
        }
        //不过滤oprions请求
        if(((HttpServletRequest) req).getMethod().equals(RequestMethod.OPTIONS.name())){
            matchFlag.set(false);
        }
        if(matchFlag.get()){   //需要过滤
            //过滤前端的请求,校验token(前端每次请求需要携带token)
            String accessToken = request.getHeader("Authorization");
            //前端请求的refreshToken
            String refreshToken = request.getHeader("refreshToken");
            MyUser myUser;
            try {
            	//这儿就直接解析前端传过来的token,没有去单点登录服务器验证
            	//如果解析成功就证明token有效
            	//验证用的包应该是com.auth0.java-jwt,自己查一下
                myUser = JwtUtil.parseJWT(accessToken);   
            } catch (TokenExpiredException e) {
                log.info("accessToken过期,尝试刷新token");
                //这个http请求的方法下边给一下,必须是basic验证的方式请求
                String result = HttpClientForOauth.sendHttpPost(oauthValue.getRefreshTokeUriPrefix() + refreshToken,
                        oauthValue.getClientId(),
                        oauthValue.getClientSecret());

                Map<String, Object> resultMap = JSONArray.parseObject(result);
                //获取到token
                String accessToken2 = String.valueOf(resultMap.get("access_token"));
                //获取到refresh_token信息
                String refreshToken2 = String.valueOf(resultMap.get("refresh_token"));
                //获取到error信息(接口报错,通常是因为refresh_token也过期了)
                String error = String.valueOf(resultMap.get("error"));
                //说明刷新成功,更新token
                if (accessToken2 != null && refreshToken2 != null && "null".equals(error)) {
                    myUser = JwtUtil.parseJWT(accessToken2);
                    request.setAttribute("user", myUser);
                    response.setHeader("Access-Control-Expose-Headers", "accessToken,refreshToken");       //必须加,否则vue无法获取头中的信息
                    //response.setHeader("Access-Control-Expose-Headers", "refreshToken");//必须加,否则vue无法获取头中的信息
                    response.setHeader("accessToken", accessToken2);
                    response.setHeader("refreshToken", refreshToken2);
                } else {
                    log.error("Token已过期,refreshToken也过期");
                    response.setStatus(HttpStatus.UNAUTHORIZED.value());
                    return;
                }
            } catch (UnsupportedJwtException e) {
                log.error("Token格式错误");
                //response.setStatusCode(HttpStatus.NOT_ACCEPTABLE);
                response.setStatus(HttpStatus.NOT_ACCEPTABLE.value());
                return;
            } catch (MalformedJwtException e) {
                log.error("Token没有被正确构造");
                response.setStatus(HttpStatus.NOT_ACCEPTABLE.value());
                return;
            } catch (SignatureException e) {
                log.error("签名失败");
                response.setStatus(HttpStatus.NOT_ACCEPTABLE.value());
                return;
            } catch (IllegalArgumentException e) {
                log.error("非法参数异常{}",e);
                response.setStatus(HttpStatus.NOT_ACCEPTABLE.value());
                return;
            } catch (Exception e) {
                log.error("其它所有异常",e);
                response.setStatus(HttpStatus.NOT_ACCEPTABLE.value());
                return;
            }
            //将token解析出来的用户信息放入请求头,以便服务确定当前登录用户
            request.setAttribute("user", myUser);
            chain.doFilter(request, response);
        }else{                 //不需要过滤
            chain.doFilter(request, response);
        }
    }

上边换取新的token用到的http请求,其实也是用code获取token的请求

public static String sendHttpPost(String httpUrl, String clientId, String clientSecret) {
		HttpPost httpPost = new HttpPost(httpUrl);
		CloseableHttpClient httpClient = null;
		CloseableHttpResponse response = null;
		HttpEntity entity;
		String responseContent = null;
		try {
			// 创建默认的httpClient实例.
			httpClient = HttpClients.createDefault();
			//单点登录验证code时需要的客户端用户名密码
			String encoding = DatatypeConverter.printBase64Binary((clientId+":"+clientSecret).getBytes("UTF-8"));
			httpPost.setHeader("Authorization", "Basic " +encoding);
			// 执行请求
			response = httpClient.execute(httpPost);
			entity = response.getEntity();
			responseContent = EntityUtils.toString(entity, "UTF-8");
		} catch (Exception e) {
			log.error("身份验证接口错误",e);
		} finally {
			try {
				// 关闭连接,释放资源
				if (response != null) {
					response.close();
				}
				if (httpClient != null) {
					httpClient.close();
				}
			} catch (IOException e) {
				e.printStackTrace();
			}
		}
		return responseContent;
	}

再贴一个解决跨域的过滤器,可能会用到。如果需要,这个过滤器应该在刷新token的过滤器之前执行(设置@Order的值)

@Component
@Order(value=-1)
public class CrossFilter implements Filter {

    /*跨域请求配置*/
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        HttpServletRequest reqs = (HttpServletRequest) req;
        response.setHeader("Access-Control-Allow-Origin",reqs.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "POST, PUT, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "5000");
        response.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,Authorization,X-Token,accessToken,refreshToken");
        //response.setHeader("Access-Control-Expose-Headers","accessToken,refreshToken");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        chain.doFilter(reqs, res);
    }
    @Override
    public void init(FilterConfig filterConfig) {}
    @Override
    public void destroy() {}
}

总结

这种方式前端需要在拦截请求的时候每次查看返回体的头部有没有新的token,如果有就将前端保存的token替换成新的,从而实现token的刷新

OAuth2.0与前端无感知token刷新实现
Arui_0的博客
09-26 1808
前言 OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛的应用。Facebook、Twitter和Google等各种在线服务都提供了基于OAuth规范的认证机制。 OAuth一般用于面向第三方大范围公开的API中的认证工作。换言之,假设带有用户注册功能的在线服务A(例如腾讯qq)对外公开了API,在线服务B(例如百度网盘)便可使用这些在线服务A的API提供的各种功能。这种情况下,当某个已在qq里注册的用户需要百度网盘的在线服务时,网盘的在线服务就会希望访问qq来使用该用户
Php oauth2.0 原理,OAuth 2.0 协议原理与实现TOKEN 生成算法
weixin_40003451的博客
03-19 621
OAuth2.0协议定义了授权详细流程,并最终以token的形式作为用户授权的凭证下发给客户端,客户端后续可以带着token去请求资源服务器,获取token权限范围内的用户资源。对于token的描述,OAuth2.0协议只是一笔带过的说它是一个字符串,用于表示特定的权限、生命周期等,但是却没有明确阐述token的生成策略,以及如何去验证一个token。RFC6749对于access token的描...
分布式认证中心实现方案:OAuth2.0 + Redis,refresh_token无感知刷新
qq_52030824的博客
03-05 1677
分布式认证中心实现方案:OAuth2.0 + Redis,refresh_token无感知刷新
OAuth2TokenEndpointFilter类介绍、应用场景和示例代码
最新发布
a_beiyo的博客
04-25 364
是 Spring Security OAuth2 授权服务器中的一个关键过滤器,负责处理 OAuth2 令牌端点(Token Endpoint)的请求。它是 OAuth2 授权服务器实现的核心组件之一,用于处理各种授权类型的令牌请求。@Bean// 自定义认证转换器,添加密码模式支持new OAuth2PasswordAuthenticationConverter() // 自定义的密码模式转换器@Override// 添加自定义响应头// 调用默认实现添加新的授权类型。
Oauth2.0实现token刷新功能
康小虎的博客
07-13 1万+
1、Oauth2.0简介 Oauth2.0是一个授权协议,提供了一种解决用户资源共享问题的思路,它是一种实现。对于java来说,我们可以利用Spring Security OAuth2实现Oauth2.0实现的最基本的思路: 上图的名词解释: 几种授权模式: 授权码模式基本思路: 微服务架构下的时序图: 2刷新token (1)基本思路 首先我们要明白,在授权码模式下,在网关请求获取access token的时候,接口会返回一个access token和一个refresh token,我
OAuth2.0的refresh token
热门推荐
wenlei_zhouwl的专栏
02-13 4万+
转载自http://www.html-js.com/?p=1297 最近看人人网的OAuth认证,发现他是OAuth2.0,之前一直看的是新浪的OAuth,是OAuth1.0. 者还是有很多同的,主要的同点在access token的获取方式. OAuth1.0的access token获取过来之后,就可以存到数据库里,然后长期使用,因为它有效期很长,通常有效期
OAuth2.0 - 刷新令牌
A_991128a的博客
01-12 2059
刷新令牌是用于获取访问令牌的凭据。刷新令牌由授权服务器颁发给客户端,用于在当前访问令牌失效或过期时获取新的访问令牌,或者获取具有相同或更窄范围的附加访问令牌(访问令牌可能具有更短的范围)生命周期和少于资源所有者授权的权限)。颁发刷新令牌是可选的,由授权服务器决定。因为刷新令牌通常是用于请求额外的访问令牌的持久凭证,刷新令牌绑定到被它被颁发给的客户端。如果通过客户端凭证模式,建议选定其他的身份验证。的过期时间保存下来,每次调用平台方的业务。进行一下时间判断,如果过期则执行刷新。如果过期就只能让用户重新授权。
OAuth 2.0 中,refreshToken刷新令牌)存在的意义
qq_41893505的博客
12-06 1992
它允许客户端在频繁请求用户授权的情况下,安全地获取新的 accessToken,从而实现短生命周期令牌的安全管理和长期会话的维持。在 OAuth 2.0 中,refreshToken刷新令牌) 的主要目的是为了提升用户体验和安全性,同时确保访问令牌的有效性。通过 refreshToken,客户端需要频繁请求用户授权,减少了授权服务器需要进行用户身份验证的频率,从而降低了服务器的负载。访问令牌(accessToken) 的有效期一般较短,通常是几分钟到几个小时。但是,短有效期可能会对用户体验造成影响。
基于OAuth2.0token无感知刷新
keocce的博客
04-13 522
  目前手头的vue项目关于权限一块有一个需求,其实架构师很早就要求我做了,但是由于这个紧急程度是很高,最近临近项目上线,我才想起,于是赶紧补上这个功能。这个项目是基于OAuth2.0认证,需要在每个请求的头部携带access_token,如果这个access_token过期,需要利用已有的refresh _token去重新获取一个access_token,如果连这个refresh_t...
OAuth2.0代码模拟实现
12-26
通过上述分析,我们可以看出"OAuth2.0代码模拟实现"项目是一个涉及用户授权、令牌管理和安全性的实践项目,涵盖了OAuth2.0的整个生命周期。具体实现细节将涉及到对Spring Security OAuth2的深入理解和配置,以及如何...
完整Oauth 2.0实现实例
03-06
在本文中,我们将深入探讨 OAuth 2.0 的核心概念,并结合 Java 实现来理解其工作原理。 OAuth 2.0 主要分为四个角色:资源所有者(Resource Owner)、客户端(Client)、授权服务器(Authorization Server)和资源...
请求时token过期自动刷新token操作
11-19
1.在开发过程中,我们都会接触到tokentoken的作用是什么呢?主要的作用就是为了安全,用户登陆时,服务器会随机生成一个有时效性的token,用户的每一次请求都需要携带上token,证明其请求的合法性,服务器会验证token,只有通过验证才会返回请求结果。 2.token失效时,现在的网站一般会做两种处理,一种是跳转到登陆页面让用户重新登陆获取新的token,另外一种就是当检测到请求失效时,网站自动去请求新的token,第种方式在app保持登陆状态上面用得比较多。 3.下面进入主题,我们请求用的是axios,管用何种请求方式,刷新token的原理都是一样的。 //封装了一个统一的请
Oauth2.0:Springsecurity的Oauth2.0实现样例
05-14
这个样例项目为开发者提供了一个完整的OAuth2.0实现框架,有助于理解和实践Spring Security的OAuth2.0特性。通过研究源代码,可以深入学习如何在实际项目中部署和使用OAuth2.0授权机制,提升应用程序的安全性和可...
OAuth 2.0)Bearer Token
w_t_y_y的博客
11-26 891
OAuth 2.0 和其他授权框架中常用的一种认证机制。它是一种访问令牌,用于在客户端和服务器之间进行身份验证和授权。Bearer Token 通常用于通过 HTTP 请求头()传递,以便服务器验证客户端的请求是否有权限访问某些资源。
Spring Security OAuth2.0()-----简化模式/密码模式/客户端模式/刷新 token
qq_42264638的博客
04-21 1667
新增“implicit” 和修改回调地址为本次地址。
oauth2.0授权协议中刷新令牌refresh token的工作原理及生命周期分析
u013905744的专栏
12-16 1万+
在学习oauth2.0协议的时候,对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌,以及刷新令牌是如何工作的,技术细节是啥?比如通过refresh token可以让access token永久过期吗? 下面就针对这两个问题进行分析。 为什么需要刷新令牌 如果access token超时时间很长,比如14条,由于第三方软件获取受保护资源都要带着access token,这样access token的攻击面就比较大。 如果access token超时时间很短,比如1个小时,那其超时之后
Spring Security OAuth2实现多用户类型认证与多用户类型token刷新(新)
weixin_42552016的博客
05-13 805
此方法基于覆盖源码路径实现,以最少的配置完成Spring Security OAuth2实现多用户类型认证与多用户类型token刷新
OAuth2.0刷新Token,正在操作时,Token过期
般若
06-17 6137
文件名称 版本号 作者 qq 版本 OAuth2.0刷新Token v1.0.0 学生宫布 8416837 SpringBoot 2.2.6SpringCloud Hoxton.SR4 文章目录需求假设你已经搭建好OAuth2.0服务器解决办法1)定时器2)请求拦截式,每次请求权限接口都判断是否可以刷新Token了 需求 保证页面会在正在操作中却弹出Token过期,这样体验好。除非好久(设定的阈值)没有操作页面了,显示已过期才合理。 假设你已经搭建好OAuth2.0服务器 登录...
Spring Security OAuth2实现多用户类型认证、刷新Token
susu1083018911的博客
03-07 4098
loadUserByUsername携带多个参数
springboot整合springsecurity+oauth2.0实现token认证
07-08
嗨!关于Spring Boot整合Spring Security和OAuth2.0实现token认证,你可以按照以下步骤进行操作: 1. 添加依赖:在你的Spring Boot项目的pom.xml文件中,添加Spring Security和OAuth2.0相关的依赖。 ```xml <dependencies> <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- Spring Security OAuth2 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> </dependencies> ``` 2. 配置Spring Security:创建一个继承自WebSecurityConfigurerAdapter的配置类,并重写configure方法来配置Spring Security的行为。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/oauth2/**", "/login/**", "/logout/**") .permitAll() .anyRequest() .authenticated() .and() .oauth2Login() .loginPage("/login") .and() .logout() .logoutSuccessUrl("/") .invalidateHttpSession(true) .clearAuthentication(true) .deleteCookies("JSESSIONID"); } } ``` 在上述配置中,我们允许访问一些特定的URL(如/oauth2/**,/login/**和/logout/**),并保护所有其他URL。我们还设置了自定义的登录页面和注销成功后的跳转页面。 3. 配置OAuth2.0:创建一个继承自AuthorizationServerConfigurerAdapter的配置类,并重写configure方法来配置OAuth2.0的行为。 ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients .inMemory() .withClient("client_id") .secret("client_secret") .authorizedGrantTypes("authorization_code", "password", "refresh_token") .scopes("read", "write") .accessTokenValiditySeconds(3600) .refreshTokenValiditySeconds(86400); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints .authenticationManager(authenticationManager); } } ``` 在上述配置中,我们使用内存存储客户端信息(client_id和client_secret),并配置了授权类型(如authorization_code、password和refresh_token)。我们还设置了访问令牌和刷新令牌的有效期。 4. 创建登录页面:创建一个HTML登录页面,用于用户进行身份验证并获取访问令牌。 ```html <!DOCTYPE html> <html> <head> <title>Login</title> </head> <body> <h2>Login</h2> <form th:action="@{/login}" method="post"> <div> <label for="username">Username:</label> <input type="text" id="username" name="username" /> </div> <div> <label for="password">Password:</label> <input type="password" id="password" name="password" /> </div> <div> <button type="submit">Login</button> </div> </form> </body> </html> ``` 5. 处理登录请求:创建一个控制器来处理登录请求,并在登录成功后重定向到受保护的资源。 ```java @Controller public class LoginController { @GetMapping("/login") public String showLoginForm() { return "login"; } @PostMapping("/login") public String loginSuccess() { return "redirect:/protected-resource"; } } ``` 在上述控制器中,我们使用@GetMapping注解来处理GET请求,@PostMapping注解来处理POST请求。登录成功后,我们将用户重定向到受保护的资源。 这样,你就完成了Spring Boot整合Spring Security和OAuth2.0实现token认证的配置。你可以根据自己的需求进行进一步的定制和扩展。希望对你有所帮助!如果你有任何疑问,请随时问我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Happy-Sir

有收获请打赏,哈哈

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值