spring-security-oauth2做前后端分离实现无感知token续期

最新推荐文章于 2024-12-31 00:36:11 发布
最新推荐文章于 2024-12-31 00:36:11 发布
阅读量2.1k 收藏 7
点赞数
分类专栏: vue 文章标签: java vue
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42408648/article/details/112917336
版权

1.问题由来

接触java已经将近3年现在大四在实习了,以前自己写的项目最多只用到了spring-security做权限认证其中的token是用jwt实现的,也考虑和使用过响应头返回新token前端判断替换token来实现访问续期的,但是总觉得不是很方便。再者就是当token过期后前端直接要求用户重新登录,这样用户体验会很不好。

现在正在学习使用spring-security-oauth2做认证和授权,登录返回的AccessToken和RefreshToken可以很好地帮助我实现token续期。其中用到了oauth2的相关知识,在此不做解释
理解OAuth2

这是一个token刷新的思路,我还在向这个方西努力
在这里插入图片描述

2.前端vue处理

请求响应拦截添加令牌过期处理
在判断响应结果是token过期时,执行刷新令牌方法覆盖本地的token。

在刷新期间需做到两点,一是避免重复刷新,二是请求重试,为了满足以上两点添加了两个关键变量:

refreshing----刷新标识
在第一次access_token过期请求失败时,调用刷新token请求时开启此标识,标识当前正在刷新中,避免后续请求因token失效重复刷新。

waitQueue----请求等待队列
当执行刷新token期间时,需要把后来的请求先缓存到等待队列,在刷新token成功时,重新执行等待队列的请求即可。

修改请求响应封装request.js的代码如下,关键部分使用注释说明
响应拦截器

// 响应拦截器
let refreshing = false,// 正在刷新标识,避免重复刷新
  waitQueue = [] // 请求等待队列
service.interceptors.response.use(res => {
   
    // 未设置状态码则默认成功状态
    const code = res.data.code || 200;
    // 获取错误信息
    const msg = errorCode[code] || res.data.message || errorCode['default']
    console.log(code)
    if (code == 1001 ) {
   
      const config = res.config
        if (refreshing == false) {
   
          refreshing = true
          const refreshToken = getRefresh()
          return store.dispatch('RefreshToken', refreshToken).then((token) => <
最低0.47元/天 解锁文章
记录Spring Security OAuth2.0认证授权7:前后端代码分离
m0_54983229的博客
01-29 1390
一、jwt令牌在网关处的过期时间校验 二、refresh-token接口缺少用户信息 三、新建business-server模块作为web容器 四、前后端分离 1、关闭认证服务表单登录 2前后端代码 五、测试 六、源代码地址 历史文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二:搭建资源服务 Spring Security OAuth2.0认证授权三:使用JWT令牌 Spring Security OAuth2
Spring Security + OAuth2前后端分离
weixin_43676950的博客
05-16 1784
跨域全称是跨域资源共享(Cross-Origin Resources Sharing,CORS),它是浏览器的保护机制,只允许网页请求统一域名下的服务,同一域名指=>协议,域名,端口号都要保持一致,如果有一项不同,那么就是跨域请求,在前后端分离的项目中,需要解决跨域的问题。当访问一个需要认证之后才能访问的接口的时候,Spring Security会使用 AuthenticationEntryPoint 将用户请求跳转到登录页面,要求用户提供登录凭证。在WebSecurityConfig,加入注销配置。
SpringSecurityOauth2实现前后端分离token服务,app登录
一点光辉的博客
02-09 6634
图解认证服务器和资源服务器 用户通过认证服务器获取到token之后,在通过token访问服务器的资源(接口) 认证服务器 授权码模式 第一步:在@configuration配置类中 @Configuration //加上这个注解就实现了一个认证服务器 @EnableAuthorizationServer public class AuthorizationServerConfig ...
前后端分离项目 — 基于SpringSecurity OAuth2.0用户认证
a595077052的专栏
08-10 3781
1、前言 现在的好多项目都是基于APP移动端以及前后端分离的项目,之前基于Session的前后端放到一起的项目已经慢慢失宠并淡出我们视线,尤其是当基于SpringCloud的微服务架构以及Vue、React单页面应用流行起来后,情况更甚。为此基于前后端分离的项目用户认证也受到众人关注的一个焦点,不同以往的基于Session用户认证,基于Token的用户认证是目前主流选择方案(至于什么是Token认证,网上有相关的资料,大家可以看看),而且基于Java的两大认证框架有Apache Shiro和SpringS
前后端分离Oauth2.0 - springsecurity + spring-authorization-server —授权码模式
热门推荐
qjyn1314的博客
11-08 1万+
前后端分离Oauth2.0实践-授权码模式
spring security oauth2_SpringBootSecurity学习(15)前后端分离版之 OAuth2.0简单示例
weixin_39821604的博客
11-26 481
OAuth2.0OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。客户端来申请资源,资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。也就是说,OAuth 的核心就是向第三方应用颁发令牌。而且,OAuth 2.0 规定了四种获得令牌的流程。你可以选择最适合自己的那一种,向第三方应用颁发令牌。具体的OAuth学习建议仔细研读阮一峰的教程,http...
OAuth2.0 token的自动续期问题
xiao_ying_bo_ke的博客
05-27 2991
OAuth2.0 的token自动续期源码分析及实现
Spring Security OAuth过期的解决方法
09-07
Spring Security 5.x引入了对OAuth2和OpenID Connect 1.0的支持,这意味着你可以直接在框架内实现OAuth2的功能,包括资源服务器、客户端和身份验证服务器。这有助于减少混乱并提供更一致的体验。 4. **移除过时的...
Spring Boot 整合 SA-Token 使用详解
最新发布
m0_74825093的博客
12-31 1333
SA-Token是一个基于TokenJava权限认证框架,主要解决:登录认证、权限认证、Session会话、踢出登录、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。SA-Token以“简单、易用、安全”为设计目标,致力于打造一个轻量级的权限认证框架。SA-Token允许你通过实现接口来自定义Token的生成、解析和验证逻辑。这对于有特殊Token格式或加密需求的应用非常有用。@Component// 实现自定义的Token处理逻辑// 在配置类中指定自定义的Token处理器。
SpringBootSecurity学习(15)前后端分离版之 OAuth2.0简单示例
Blues的专栏
10-07 2218
OAuth2.0 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。客户端来申请资源,资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。也就是说,OAuth 的核心就是向第三方应用颁发令牌。而且,OAuth 2.0 规定了四种获得令牌的流程。你可以选择最适合自己的那一种,向第三方应用颁发令牌。 具体的OAuth学习建议仔细研读阮一峰的教程, ...
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
基于Spring Cloud、OAuth2.0、Vue前后端分离的系统
12-11
基于Spring Cloud、OAuth2.0、Vue前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动态路由、灰度发布、 支持常见登录方式, 多系统SSO登录
springsecurity oauth2实现前后端分离项目的SSO技术点总结
a595077052的专栏
08-20 5340
参考: https://www.jianshu.com/p/b549220e7b34?ivk_sa=1024320u 一、基于cookie+session的SSO基本实现 1、认证中心的授权服务器配置 配置类继承AuthorizationServerConfigurerAdapter 1)服务安全配置 对授权服务相关的接口进行安全访问的相关设置,如/oauth/token_key,/oauth/token等,解决可以将哪些资源进行授权、怎么授权的问题。 public void configu
oauth2 单点登录_前后端分离基于Oauth2的SSO单点登录怎样
weixin_39533795的博客
12-05 605
作者简介:陶陶老师10年后端工作经验,专注JavaSpringBoot、SpringCloud、分布式系统/微服务、中间件等领域。掘金专栏:zlt2000 的个人主页 - 掘金一、说明单点登录顾名思义就是在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统,免除多次登录的烦恼;本文主要介绍跨域间的 前后端分离 项目怎样实现单点登录,并且与 非前后端分离 的差异在那里?需要解决什么问...
Security OAuth2前后端分离下使用授权码模式
pscool的博客
08-19 1063
用户先通过密码模式获取令牌(前端携带用户名和密码,在网关添加客户端id和客户端密码参数,认证服务通过密码模式发放令牌),此后使用该令牌访问服务。现在,需要该用户授权给第三方客户端访问这个用户的资源。按标准的情况来说,应该是不能允许用户通过密码模式获取token登录的(通过密码模式获取的token代表的是这个用户完全信任这个客户端而把密码交给这个客户端从而获取到访问令牌),但是有的系统已经这样了,现在需要在这个的基础上添加授权码模式。
SpringSecurity OAuth开发前后端分离认证框架介绍
程序员劝退师的博客
11-12 803
前言 在之前有写过几篇SpringSecurity前后端分离架构情况下的认证文章,那么随着现在技术的发展用户上网的方式已经不是过去单纯的浏览器,现在很多应用都实现了APP化,还有随着现在互联网技术的发展,传统的前后端分离的的项目部署方案已经悄然落下帷幕,而现在较为普及的前后端分离的部署方案更受互联网公司的青睐! 前后端分离的相关文章 SpringSecurity基本概念入门 SpringSecurity表单认证 SpringSecurity表单认证源码流程分析 SpringSecurity认证的结果
Oauth2.1第三方授权前后端分离实现
程序员们必读的博客,涵盖IT技术、编程经验等领域。
04-16 1957
完成上诉步骤我们就可以进行第三方授权登录了。复盘一下自定义登录页面自定义授权页面请求授权地址监听重定向改造登录成功监听改造(返回成功信息)授权成功监听改造(如果是前端请求则返回成功信息,由前端重定向到成功回调地址)前端登录改造(先请求我们自己的登录接口,成功后再请求oauth2提供的登录接口)https://resource.liulingfengyu.cn/img/扫码_搜索联合传播样式-标准色版压缩版.png。
前后端分离架构下的OAuth2.0授权流程
weixin_41866717的博客
10-02 5334
前后端分离架构下spring security oauth2.0
Spring Cloud实战 | 最八篇:Spring Cloud +Spring Security OAuth2+ Vue前后端分离模式下无感知刷新实现JWT续期
有来技术
11-25 1866
项目名称 地址 后台 youlai-mall 管理前端 youlai-mall-admin 微信小程序 youlai-mall-weapp 一. 前言 记得上一篇Spring Cloud的文章关于如何使JWT失效进行了理论结合代码实践的说明,想当然的以为那篇会是基于Spring Cloud统一认证架构系列的最终篇。但关于JWT另外还有一个热议的话题是JWT续期?。 本篇就个人觉得比较好的JWT续期方案以及落地和大家分享一下,算是抛转引玉,大家有好的方案欢迎留言哈。 后端 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值