Spring Security OAuth2 RedisTokenStore 和 JwtTokenStore

最新推荐文章于 2025-03-10 09:24:38 发布
最新推荐文章于 2025-03-10 09:24:38 发布
阅读量2.4k 收藏 7
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Spring
原文链接:https://blog.youkuaiyun.com/qq_38719011/article/details/96422915

区别

JWTTokenStore

RedisTokenStore

token信息,认证信息封装在JWT负载中

token信息,认证信息保存在Redis服务

token为加密的JWT负载

token为随机redis key

通过解密token获取用户认证信息

通过认证服务器校验token获取用户认证信息

优缺点

JWTTokenStore

RedisTokenStore

无需保存用户认证信息

使用Redis服务保存用户认证信息

无法撤销用户授权

可以撤销用户撤销

 

JwtTokenStore类需要一个JwtAccessTokenConverter类来作为构造函数的参数、主要用于解析和验证Jwt生成的token的。

 

OAuth2中有一个很重要的接口 TokenStore接口、该接口就是为了生成token的、当然也可以保存token、移除token等等。

其中还有个重要的接口AuthorizationServerTokenServices、该接口默认实现类是DefaultTokenServices、该类在用户进行授权的时候会执行createAccessToken方法。

    @Transactional
    public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {
        //调用tokenStore的getAccessToken方法、在使用Jwt时、JwtTokenStore的该方法返回为null
        //RedisTokenStore的话会去查询当前是否存在该用户的Token、如果不存在则返回null
        OAuth2AccessToken existingAccessToken = this.tokenStore.getAccessToken(authentication);
        OAuth2RefreshToken refreshToken = null;
        if (existingAccessToken != null) {
            //以下这个if块中的代码就是为啥在使用Redis的时候、如果token未过期不会再次生成的原因
            if (!existingAccessToken.isExpired()) {
                this.tokenStore.storeAccessToken(existingAccessToken, authentication);
                return existingAccessToken;
            }
            //如果上面那句没被return、这里看看刷新token是否为null、不为null的话就把刷新token移除
            if (existingAccessToken.getRefreshToken() != null) {
                refreshToken = existingAccessToken.getRefreshToken();
                this.tokenStore.removeRefreshToken(refreshToken);
            }
            //移除token
            this.tokenStore.removeAccessToken(existingAccessToken);
        }
        if (refreshToken == null) {//这个是获取刷新token的代码
            refreshToken = this.createRefreshToken(authentication);
        } else if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
            ExpiringOAuth2RefreshToken expiring = (ExpiringOAuth2RefreshToken)refreshToken;
            if (System.currentTimeMillis() > expiring.getExpiration().getTime()) {
                refreshToken = this.createRefreshToken(authentication);
            }
        }
        //这里是生成existingAccessToken 为空或者最上面那个if块并没有被return的时候执行的
        //创建token代码、这里需要说一下、createAccessToken在Jwt的时候需要额外关注一下、在下面介绍该方法
        OAuth2AccessToken accessToken = this.createAccessToken(authentication, refreshToken);
        this.tokenStore.storeAccessToken(accessToken, authentication);//储存token
        refreshToken = accessToken.getRefreshToken();
        if (refreshToken != null) {
            this.tokenStore.storeRefreshToken(refreshToken, authentication);//储存刷新token的
        }

        return accessToken;
    }

接下来解析DefaultTokenServicescreateAccessToken(OAuth2Authentication, OAuth2RefreshToken)方法、该方法在使用Jwt生成token时很重要、最重要的在最后一行、大白话就是如果accessTokenEnhancer不为null那么就调用accessTokenEnhancer 来生成token否者就返回当前DefaultOAuth2AccessToken类生成的token

private OAuth2AccessToken createAccessToken(OAuth2Authentication authentication, OAuth2RefreshToken refreshToken) {
        DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(UUID.randomUUID().toString());
        int validitySeconds = this.getAccessTokenValiditySeconds(authentication.getOAuth2Request());
        if (validitySeconds > 0) {
            token.setExpiration(new Date(System.currentTimeMillis() + (long)validitySeconds * 1000L));
        }

        token.setRefreshToken(refreshToken);
        token.setScope(authentication.getOAuth2Request().getScope());
        //TokenEnhancer接口
        return (OAuth2AccessToken)(this.accessTokenEnhancer != null ? this.accessTokenEnhancer.enhance(token, authentication) : token);
    }

JwtTokenStore类需要一个JwtAccessTokenConverter类来作为构造函数的参数、主要用于解析和验证Jwt生成的token的、DefaultTokenServices类也需要、所以这里就需要分别配置TokenStoreTokenEnhancer、两个必须都配置。

 

转:https://blog.youkuaiyun.com/qq_38719011/article/details/96422915

Spring Security OAuth2入门Demo
诺浅的专栏
11-17 1789
写在前面 项目基于Spring Cloud,需要你对Spring Cloud有所了解,篇幅所限,本文只会列出关键代码,文末会给出完整的项目GIT地址,建议下载下来导入到idea中再进行查看。 项目的目录结构 其中auth-server为认证模块,client-user为资源模块。 auth-server模块配置 首先需要导入oauth2的包 <dependency> <groupId>org.springframework.cloud</groupId>
SpringSecurity OAuth2 资源服关于JWT TokenRedis Token的区别
程序员劝退师的博客
10-10 1030
前言 这是一篇关于SpringSecurity OAuth2细节对比的文章,我是在同一个授权服的情况下,资源服分别采用不同的TokenStore策略,获取Authentication,准去的说是在获取authentication.getPrincipal()的时候我发现JWTStore RedisStore得到的数据是不一样的,那么这就引起了我的好奇心! 基于Redis的Store 基于JWT的Store 接口代码如下 两个资源服都有这个一样的接口! @GetMapping(value = "/g
Spring Security 的TokenStore三种实现方式
a910247的博客
01-28 1471
在Web开发中,Token Store 通常用于存储用户身份验证令牌(Tokens),例如 JSON Web Tokens (JWT) 或其他形式的令牌。这些令牌可以用于验证用户身份,实现用户会话管理以及访问控制。Spring Security 提供了几个常见的TokenStore实现,包括内存中存储、JDBC 数据库存储基于 JWT(JSON Web Token)的存储。下面将分别介绍这三种实现方式,并提供基本的代码示例。
Spring Security OAuth2 使用Redis存储token键值详解
OceanSky的专栏
07-27 2万+
1.Spring Security OAuth2存储token值的方式由多种,所有的实现方式都是实现了TokenStore接口 InMemoryTokenStore:token存储在本机的内存之中 JdbcTokenStore:token存储在数据库之中 JwtTokenStore:token不会存储到任何介质中 RedisTokenStore:token存储在Redis数据库之中 2.看下R...
Spring Security OAuth2RedisTokenStoreJwtTokenStore
qq_38719011的博客
07-18 8400
个人感觉啊Spring Security OAuth2功能很强大、但是如果要做改动的话就需要好好研究研究了、OAuth2有好几种授权模式里、我最常用的也就是password模式、授权码模式略微复杂、没咋研究过、而且感觉这个框架只使用网站的时候使用授权码方式对第三方系统进行授权是最简单的、要不感觉就需要深入研究了、最主要的还是根据需求来做决定、一般用户这块无非就是以下几种关系 同一用户(任何端)可...
(六)OAuth 2.0 RedisTokenStore
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 3047
Maven依赖 <!--redis 依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> 授权服务器(Authoriz
spring security oauth2 JWTTokenStoreRedisTokenStore区别优缺点
路过君的博客
08-17 2651
区别 JWTTokenStore RedisTokenStore 用户认证信息封装再JWT负载中 用户认证信息保存再Redis服务 token为加密的JWT负载 token为随机redis key 通过解密token获取用户认证信息 通过认证服务器校验token获取用户认证信息 优缺点 JWTTokenStore RedisTokenStore 无需保存用户认证信息 使用Redis服务保存用户认证信息 无法撤销用户授权 可以撤销用户撤销 ...
Spring Security Oauth2实战
Trazen的专栏
07-10 1870
文章目录1.OAuth2简介2.OAuth2的四大角色3.OAuth2 授权流程3.1 授权码模式(authorization code)3.2 简化模式(Implicit Grant)3.3 密码模式(Resource Owner Password Credentials Grant)3.4 客户端模式(Client Credentials Grant)4.搭建演示工程4.1 添加依赖4.2 授权服务器配置4.3 资源服务器配置4.4 Security配置4.5 增加测试接口5.测试6.扩展篇6.1 To
Spring Security OAuth2 JWT (SSO)整合
最新发布
wjianwei666的专栏
03-10 176
User-Agent相当于你用第三方登录弹出的登录网页)会带上 客户凭证(client Credentials)重定向的uri去到要认证服务器里面去,认证服务器会让Resource Owner也就是用户去认证,用户同意了,会返回一个授权码给User-Agent再给Client。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。
Spring Security OAuth2整合JWT
weixin_38927257的博客
11-22 1979
文章目录引言JWT的三个特点自包含:密签:签名:加密:可扩展:JWT组成HeaderClaims (Payload)SignatureJWT流程示意图Spring Security Oauth2 实现JWT配置TokenStoreConfig用于存储TokenMerryyouJwtTokenEnhancer配置认证服务器配置资源服务器解析扩展的Token测试方法刷新令牌: 引言 Json we...
Spring Security Oauth2:RedisTokenStore(一)之Token内容揭秘
热门推荐
既无风雨也无晴
04-10 4万+
Spring Security Oauth2RedisTokenStore Spring Security Oauth2 存储Token的方式有多种
SpringSecurity(二十二)--OAuth2:实现资源服务器(下)通过redis缓存实现TokenStore
学习不止境的博客
12-02 3271
本章将在前面几章基础上进行讲解,所以大家最好尽量先去看一下前几章的内容再来跟进会好很多。那么本章我们将通过redis本地缓存Caffeine对JdbcTokenStore进行重写,并且讲解资源服务器配置的新方案,使得我们可以不用在资源服务器又配置一个授权服务器一样的tokenStore. 我们上一章实现了JdbcTokenStore,那么大家都知道,redis的速度是肯定的比普通的数据库是要快的,且JdbcTokenStore实在是有点难拓展,尤其涉及到表结构的更改,所以选择使用Redis对TokenS
spring security + oauth2 使用RedisTokenStore 以json格式存储
qq_31683775的博客
08-05 1531
然后访问,到json权限信息转成实体类的时候,就有问题了,各种各样oauth2 中的数据实体类,没有构造方法,无法创建对象,先转成map在手动新建对象同样不行,,保存没问题,取出来的时候就有问题了,把这三个文件复制到资源服务器,让资源服务器也用MyRedisTokenStore 的方式读取权限信息.但是需要实例化的对象类路径,这么长一串,没有构造方法,无法新建对象.4.配置使用redis类型的 TokenStore。5.完成认证模块的编写后,测试登录。redis中的配置已经读到了。结束
SPRINGSECURITY-OAUTH2之TOKENSTORE
mituan1234567的专栏
11-05 371
Springsecurity-oauth2之TokenStore - database- - 博客园 它就是用来保存token(封装在OAuth2AccessToken中) TokenStore的实现类 1>InMemoryTokenStore  默认保存 ,把Token 存在内存中 2>JdbcTokenStore  把access_token存在数据库中 3>JwkTokenStore  将 access_token 保存到 JSON Web Key 4>JwtTok
SpringSecurity OAuth2中关于TokenStore实现类JwtTokenStore的详解
向心行者
01-17 7114
1、前言   在《SpringSecurity OAuth2中真正创建Token的实现类DefaultTokenServices、TokenStore(Token存储管理)的详解》中,我们分析了在OAuth2中,Token是如何创建的,同时也了解了TokenStore是如何管理Token的,并详细分析了InMemoryTokenStore 实现类的逻辑,而JdbcTokenStore RedisTokenStore 实现思路是类似的,但是JwtTokenStore 的实现类就InMemoryToken
Spring Cloud进阶之路 | 二十:授权服务(Spring Cloud Oauth2)TokenStore之RedisTokenStore
银河架构师的博客
02-19 2177
​前言 上一篇文章Spring Cloud进阶之路 | 十九:授权服务(Spring Cloud Oauth2)TokenStore之JdbcTokenStore中,介绍了如何配置JdbcTokenStore,将token等信息存储在数据库中。数据库有其限制性,一旦数据量过大,那么新增、更新、查询等操作的速率将会大幅下降,这时,就需要缓存支持,框架为我们提供了Redis存储方式,即Redi...
Oauth2使用redisTokenStore实现单点登录,多点登陆
干饭两斤半
09-04 3623
前言: 最近开发认证服务的时候,发现使用redisTokenStore之后,多点登陆获取到的token跟第一次获取到的相同;不满足单点登录需求;故写此文章记录处理方法 1.追踪源码,搜寻资料;TokenService默认实现为DefaultTokenServices;查看源代码发现,DefaultTokenServices类的createAccessToken方法是创建token的;这里他创建之前,会根据OAuth2Authentication 去tokenStore中获取存储的token。由于同一个用户的
8.Spring Security Oauth2 -- redis JWT存储token
折剑听雨落
06-04 5143
1.令牌的存储方式 令牌有多种存储方式,每种方式都是实现了 TokenStore 接口 存储在本机内存: InMemoryTokenStore 存储在数据库: JdbcTokenStore JWT: JwtTokenStore,Json Web Token 不会存储在任何介质中,不过我还是不推荐这种做法啊,并发 2w 以后会有问题 存储在 Redis: RedisTokenStore 2.使用 Redis 存储令牌 2.1 pom添加依赖 ...
OAuth2 + Security保护服务 基于 RedisTokenStore
lzq199528的博客
04-29 3943
antMatchers(HttpMethod.OPTIONS,"/**").permitAll() 放过OPTIONS请求 创建auth2-server服务 配置文件 spring: application: name: auth2-server #redis配置数据 redis: hostName: 117.73.8.227 port: 6379 da...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值