oauth2.0 使用redis 缓存client token,导致redis内存爆了 -线上问题解决

最新推荐文章于 2024-03-05 23:48:18 发布
原创 最新推荐文章于 2024-03-05 23:48:18 发布 · 2.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#bug #redis

本文分析了一个由于客户端token永久有效设置导致的Redis内存持续增长的问题。通过排查发现,由于token没有设置过期时间,使得每次认证都会将token存入Redis且不删除,最终导致内存占用激增。

之前redis已经加过一次内存了,这次又加了16G,发现过了不久又爆了,这次感觉到是程序的问题了,而不是业务增长导致的。

这是使用工具看到的,43G的内存全部占满了。

查看了一些key,以为是业务的某些对象导致的,结果到开发环境排查,才发现是因为client_id_to_access 的token 导致的。

查看redis  client_id_to_access :xx token 数据达到了一千万,一共3个client 。

删除后,内存瞬间下去

 

这是删除后,过了一两天就增长到了4万多条数据了。

 

查看了RedisTokenStore 发现token 会不断地往list塞值。

public void storeAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) {
   byte[] serializedAccessToken = serialize(token);
   byte[] serializedAuth = serialize(authentication);
   byte[] accessKey = serializeKey(ACCESS + token.getValue());
   byte[] authKey = serializeKey(AUTH + token.getValue());
   byte[] authToAccessKey = serializeKey(AUTH_TO_ACCESS + authenticationKeyGenerator.extractKey(authentication));
   byte[] approvalKey = serializeKey(UNAME_TO_ACCESS + getApprovalKey(authentication));
   byte[] clientId = serializeKey(CLIENT_ID_TO_ACCESS + authentication.getOAuth2Request().getClientId());

   RedisConnection conn = getConnection();
   try {
      conn.openPipeline();
      if (springDataRedis_2_0) {
         try {
            this.redisConnectionSet_2_0.invoke(conn, accessKey, serializedAccessToken);
            this.redisConnectionSet_2_0.invoke(conn, authKey, serializedAuth);
            this.redisConnectionSet_2_0.invoke(conn, authToAccessKey, serializedAccessToken);
         } catch (Exception ex) {
            throw new RuntimeException(ex);
         }
      } else {
         conn.set(accessKey, serializedAccessToken);
         conn.set(authKey, serializedAuth);
         conn.set(authToAccessKey, serializedAccessToken);
      }
      if (!authentication.isClientOnly()) {
         conn.rPush(approvalKey, serializedAccessToken);
      }
      conn.rPush(clientId, serializedAccessToken);
      if (token.getExpiration() != null) {
         int seconds = token.getExpiresIn();
         conn.expire(accessKey, seconds);
         conn.expire(authKey, seconds);
         conn.expire(authToAccessKey, seconds);
         conn.expire(clientId, seconds);
         conn.expire(approvalKey, seconds);
      }
      OAuth2RefreshToken refreshToken = token.getRefreshToken();
      if (refreshToken != null && refreshToken.getValue() != null) {
         byte[] refresh = serialize(token.getRefreshToken().getValue());
         byte[] auth = serialize(token.getValue());
         byte[] refreshToAccessKey = serializeKey(REFRESH_TO_ACCESS + token.getRefreshToken().getValue());
         byte[] accessToRefreshKey = serializeKey(ACCESS_TO_REFRESH + token.getValue());
         if (springDataRedis_2_0) {
            try {
               this.redisConnectionSet_2_0.invoke(conn, refreshToAccessKey, auth);
               this.redisConnectionSet_2_0.invoke(conn, accessToRefreshKey, refresh);
            } catch (Exception ex) {
               throw new RuntimeException(ex);
            }
         } else {
            conn.set(refreshToAccessKey, auth);
            conn.set(accessToRefreshKey, refresh);
         }
         if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
            ExpiringOAuth2RefreshToken expiringRefreshToken = (ExpiringOAuth2RefreshToken) refreshToken;
            Date expiration = expiringRefreshToken.getExpiration();
            if (expiration != null) {
               int seconds = Long.valueOf((expiration.getTime() - System.currentTimeMillis()) / 1000L)
                     .intValue();
               conn.expire(refreshToAccessKey, seconds);
               conn.expire(accessToRefreshKey, seconds);
            }
         }
      }
      conn.closePipeline();
   } finally {
      conn.close();
   }
}

 

默认的实现方法 DefaultTokenServices,里面就写了如果失效了就会删除token,反之则不断塞值进去

public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {

   OAuth2AccessToken existingAccessToken = tokenStore.getAccessToken(authentication);
   OAuth2RefreshToken refreshToken = null;
   if (existingAccessToken != null) {
      if (existingAccessToken.isExpired()) {
         if (existingAccessToken.getRefreshToken() != null) {
            refreshToken = existingAccessToken.getRefreshToken();
            // The token store could remove the refresh token when the
            // access token is removed, but we want to
            // be sure...
            tokenStore.removeRefreshToken(refreshToken);
         }
         tokenStore.removeAccessToken(existingAccessToken);
      }
      else {
         // Re-store the access token in case the authentication has changed
         tokenStore.storeAccessToken(existingAccessToken, authentication);
         return existingAccessToken;
      }
   }

   // Only create a new refresh token if there wasn't an existing one
   // associated with an expired access token.
   // Clients might be holding existing refresh tokens, so we re-use it in
   // the case that the old access token
   // expired.
   if (refreshToken == null) {
      refreshToken = createRefreshToken(authentication);
   }
   // But the refresh token itself might need to be re-issued if it has
   // expired.
   else if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
      ExpiringOAuth2RefreshToken expiring = (ExpiringOAuth2RefreshToken) refreshToken;
      if (System.currentTimeMillis() > expiring.getExpiration().getTime()) {
         refreshToken = createRefreshToken(authentication);
      }
   }

   OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);
   tokenStore.storeAccessToken(accessToken, authentication);
   // In case it was modified
   refreshToken = accessToken.getRefreshToken();
   if (refreshToken != null) {
      tokenStore.storeRefreshToken(refreshToken, authentication);
   }
   return accessToken;

}

 

最终原因就是 client 的token失效时间设置了永久导致的,这个坑也是够好玩的,坑了我几个星期。

 

 

 

 

 

 

 

 

 

 

 

辟寒大仙
关注
OAuth2.0系列之信息Redis存储实践(七)
Nicky's blog
06-16 4320
OAuth2.0系列之信息Redis存储教程(七)1 前言介绍2、典型例子实践3、OAuth2.0授权功能简单测试 OAuth2.0系列博客: OAuth2.0系列之基本概念和运作流程(一) OAuth2.0系列之授权码模式实践教程(二) OAuth2.0系列之简化模式实践教程(三) OAuth2.0系列之密码模式实践教程(四) OAuth2.0系列之客户端模式实践教程(五) OAuth2.0系列之信息数据库存储教程(六) OAuth2.0系列之信息Redis存储教程(七) OAuth2.0系列之集成JW
spring security oauth2redisclient_id_to_access命名空间过期数据过多导致内存溢出问题
晴天丶博客
03-18 3251
利用redis销毁过期key的回调机制,新增一个监听器处理过期数据。
一篇 CPU 占用高,导致请求超时的故障排查
不想当码农的程序员
11-07 1998
关注我,一个仍存梦想的屌丝程序员,每天为你分享高质量编程博客。 回复 “代金券”  免费获取腾讯云和阿里云代金券 一、发现问题的系统检查 一个管理平台门户网页进统计页面提示请求超时,随进服务器操作系统检查load average超过4负载很大,PID为7163的进程占用到了800%多。 二、定位故障 根据这种故障的一般处理思路,先找出问题进程内CPU占用率高的线程,再通过线程栈信息...
OAuth 2.0攻击方法及案例总结
乐枕的家
08-01 9740
本文整理了OAuth 2.0的攻击面+实际案例+辅助测试代码 OAuth流程本文以两种广泛使用的方案为标准展开. 如对流程不了解,请先移步学习: 理解OAuth 2.0Authorization Code response_type = code redirect_uri scope client_id state Implicit response_type = token redirect_u
Oauth2.0 token线程并行超发问题OAuth2Exception: Incorrect result size: expected 1, actual
it佳佳的博客
05-12 1333
OAuth2Exception: Incorrect result size: expected 1, actual 6 问题描述: 多线程并发创建access_token 或者刷新token时,导致oauth_access_token表中,同一个authentication_id出现了多条记录,导致登录时报错OAuth2Exception: Incorrect result size: expected 1, actual 6 maven依赖如下 <dependency>
关于RedisOAuth 2.0内存溢出解决方案
Mr.Wang的博客
07-10 1440
本次问题是由OAuth 2.0授权框架(用于授权第三方应用程序【客户端】访问受保护的资源。)存储在Redis(或称为 “client ID to access”)通常是指在OAuth 2.0认证流程中,客户端(Client使用的唯一标识符。导致溢出原因:当使用命名空间存储和的列表数据时,整个键的过期时间会随列表数据的更新而刷新。这可能导致与同一clientId或username相关的令牌过期后,键却没有被及时删除,从而导致内存溢出问题。简单来说TTL。
springboot_security_oauth2.0_redis:redis 缓存,mysql存储用户信息
04-30
#大部分源码来自 @author lxg,类里面有作者信息 #本人在基础上整合与修改。 springboot_security_oauth2.0 add requeset: add response: {"access_token":"b2c338d7-c71d-4e8b-b2bf-809a2fb1b27c","token_type":"bearer","refresh_token":"3c66fd1c-60b5-44d2-a614-548941c13c25","expires_in":43051,"scope":"read"} {"access_token":"25baa135-1fc3-48f3-892b-a4eddce08715","token_type":"bearer","refresh_token":"adb454ee-9a4b-4f65-a073-fc6c513a4bdd",
OAuth 2.0Redis 存储.zip
最新发布
12-03
用于OAuth 2.0Redis 存储 安装$ go get -u -v github.com/go-oauth2/redis/v4用法package mainimport ( "github....{ manager := manage.NewDefaultManager() // use redis token store manager.MapTokenStorage...
SpringSecurity学习笔记之 入门 十 一(oauth2.0整合 redis保存token
m0_49194578的博客
08-13 1703
之前我们的token都是保存在内存中。这是不合理的。【反正教程是这么写的】,可能是他的token有别于jwt的token吧。因为每次重启服务器就失效了嘛。。那就应该是临时token了。。 这里我们就把他的资源访问token进行缓存redis maven: redis依赖: spring-boot-starter-data-redis 对象池依赖: commons-pool2 原因: 放在内存token有可能丢失,放关系数据库,效率低,所以采用redis; 配置: 在刚才配置密码模式的地方,进行配置 在授
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
详解Spring Boot Oauth2缓存UserDetails到Ehcache
08-27
主要介绍了详解Spring Boot Oauth2缓存UserDetails到Ehcache,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring boot + security oauth2 + redis + mongodb 框架搭建
08-16
包含spring boot 、redis、mongodb、oauth2 client模式和password模式的安全框架
OAuth2.0基于redis存储Token
张俊杰 的博客
02-07 2546
引入依赖 ​ <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <groupId>org.apache.commons</groupId> &
OAuth2使用Redis来存储客户端信息以及AccessToken
恒宇少年De成长之路
12-13 1787
使用Redis来存储OAuth2相关的客户端信息以及生成的AccessToken是一个不错的选择,Redis与生俱来的的高效率、集群部署是比较出色的功能,如果用来作为服务认证中心的数据存储,可以大大的提高响应效率。 Redis还支持超时自动删除功能,OAuth2所生成的AccessToken相关的数据在超过配置的有效时间后就会自动被清除,这样也隐形的提高了接口的安全性。 既然Redis可以做到这么...
oauth2.0使用redis和mysql存储token
shijinjins的博客
10-30 2890
我们都知道oauth2.0存储token的方式有四种:分别是:基于redis,mysql,JWT,内存方式token
spring-security-oauth2token持久化到redis
u013008898的博客
06-12 696
pom: RedisConfig: AuthorizationServerConfig;
分布式认证中心实现方案:OAuth2.0 + Redis,refresh_token无感知刷新
qq_52030824的博客
03-05 1926
分布式认证中心实现方案:OAuth2.0 + Redis,refresh_token无感知刷新
短信验证码java_SpringBoot OAuth2.0 使用 Redis 保存短信验证码 + AccessToken
weixin_31293685的博客
01-27 500
上一篇: 江景:SpringBoot OAuth2.0 使用短信验证码登录授权​zhuanlan.zhihu.com使用 Redis 缓存服务,将授权服务返回的短信验证码和 access_token 保存到 redis 中。添加 redis 依赖<dependency> <groupId>org.springframework.boot</groupId&gt...
Spring Security OAuth2.0(三)-----基于Redis存储和JDBC存储
qq_42264638的博客
05-06 2438
Spring Security OAuth2.0(三)-----基于Redis存储和JDBC存储
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值