快捷導(dǎo)航

SpringBoot Security實(shí)現(xiàn)單點(diǎn)登出并清除所有token

更新時(shí)間：2023年01月14日 13:47:56 作者：我有一只肥螳螂

Spring Security是一個(gè)功能強(qiáng)大且高度可定制的身份驗(yàn)證和訪問控制框架。提供了完善的認(rèn)證機(jī)制和方法級(jí)的授權(quán)功能。是一款非常優(yōu)秀的權(quán)限管理框架。它的核心是一組過濾器鏈，不同的功能經(jīng)由不同的過濾器

需求

A、B、C 系統(tǒng)通過 sso 服務(wù)實(shí)現(xiàn)登錄
A、B、C 系統(tǒng)分別獲取 Atoken、Btoken、Ctoken 三個(gè) token
其中某一個(gè)系統(tǒng)主動(dòng)登出后，其他兩個(gè)系統(tǒng)也登出
至此全部 Atoken、Btoken、Ctoken 失效

記錄token

pom 文件引入依賴

Redis數(shù)據(jù)庫依賴
hutool：用于解析token

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
   <groupId>cn.hutool</groupId>
   <artifactId>hutool-all</artifactId>
   <version>5.7.13</version>
</dependency>

token 存儲(chǔ)類實(shí)現(xiàn) AuthJdbcTokenStore

TokenStore 繼承 JdbcTokenStore
使用登錄用戶的用戶名 username 做 Redis 的 key
因?yàn)橛脩舻卿浀南到y(tǒng)會(huì)有多個(gè)，所以 value 使用 Redis 的列表類型來存儲(chǔ) token
設(shè)置有效時(shí)間，保證不少于 list 里 token 的最大有效時(shí)間

@Component
public class AuthJdbcTokenStore extends JdbcTokenStore {
    public static final String USER_HAVE_TOKEN = "user-tokens:";
    @Resource
    RedisTemplate redisTemplate;
    public AuthJdbcTokenStore(DataSource connectionFactory) {
        super(connectionFactory);
    }
    @Override
    public void storeAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) {
        super.storeAccessToken(token, authentication);
        if (Optional.ofNullable(authentication.getUserAuthentication()).isPresent()) {
            User user = (User) authentication.getUserAuthentication().getPrincipal();
            String userTokensKey = USER_HAVE_TOKEN + user.getUsername();
            String tokenValue = token.getValue();
            redisTemplate.opsForList().leftPush(userTokensKey, tokenValue);
            Long seconds = redisTemplate.opsForValue().getOperations().getExpire(userTokensKey);
            Long tokenExpTime = getExpTime(tokenValue);
            Long expTime = seconds < tokenExpTime ? tokenExpTime : seconds;
            redisTemplate.expire(userTokensKey, expTime, TimeUnit.SECONDS);
        }
    }
    private long getExpTime(String accessToken) {
        JWT jwt = JWTUtil.parseToken(accessToken);
        cn.hutool.json.JSONObject jsonObject = jwt.getPayload().getClaimsJson();
        long nowTime = Instant.now().getEpochSecond();
        long expEndTime = jsonObject.getLong("exp");
        long expTime = (expEndTime - nowTime);
        return expTime;
    }
}

oauth_access_token 使用 JdbcTokenStore 存儲(chǔ) token 需要新增表

CREATE TABLE `oauth_access_token` (
  `create_time` timestamp NULL DEFAULT CURRENT_TIMESTAMP,
  `token_id` varchar(255) DEFAULT NULL,
  `token` blob,
  `authentication_id` varchar(255) DEFAULT NULL,
  `user_name` varchar(255) DEFAULT NULL,
  `client_id` varchar(255) DEFAULT NULL,
  `authentication` blob,
  `refresh_token` varchar(255) DEFAULT NULL,
  UNIQUE KEY `authentication_id` (`authentication_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb3;

AuthorizationServerConfigurerAdapter 使用 AuthJdbcTokenStore 做 token 存儲(chǔ)

引入 DataSource，因?yàn)?JdbcTokenStore 的構(gòu)造方法必須傳入 DataSource
創(chuàng)建按 TokenStore，用 AuthJdbcTokenStore 實(shí)現(xiàn)
tokenServices 添加 TokenStore
endpoints 添加 tokenServices

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    @Autowired
    private DataSource dataSource;
	...
    @Bean
    public TokenStore tokenStore() {
        JdbcTokenStore tokenStore = new AuthJdbcTokenStore(dataSource);
        return tokenStore;
    }
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        DefaultTokenServices tokenServices = new DefaultTokenServices();
        tokenServices.setTokenStore(tokenStore());
        endpoints
                .authenticationManager(authenticationManager)
                .tokenServices(tokenServices)
                .accessTokenConverter(converter)
        ;
    }
	...
}

清除token

繼承 SimpleUrlLogoutSuccessHandler
獲取用戶名 userName
獲取登錄時(shí)存儲(chǔ)在 Redis 的 token 列表
token 字符串轉(zhuǎn)換成 OAuth2AccessToken
使用 tokenStore 刪除 token

@Component
public class AuthLogoutSuccessHandler1 extends SimpleUrlLogoutSuccessHandler {
    String USER_HAVE_TOKEN = AuthJdbcTokenStore.USER_HAVE_TOKEN;
    @Resource
    RedisTemplate redisTemplate;
    @Resource
    TokenStore tokenStore;
    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        if (!Objects.isNull(authentication)) {
            String userName = authentication.getName();
            String userTokensKey = USER_HAVE_TOKEN + userName;
            Long size = redisTemplate.opsForList().size(userTokensKey);
            List<String> list = redisTemplate.opsForList().range(userTokensKey, 0, size);
            for (String tokenValue : list) {
                OAuth2AccessToken token = tokenStore.readAccessToken(tokenValue);
                if (Objects.nonNull(token)) {
                    tokenStore.removeAccessToken(token);
                }
            }
            redisTemplate.delete(userTokensKey);
            super.handle(request, response, authentication);
        }
    }
}

解決登出時(shí)長過長

場景：項(xiàng)目運(yùn)行一段時(shí)間后，發(fā)現(xiàn)登出時(shí)間越來越慢

問題：通過 debug 發(fā)現(xiàn)耗時(shí)主要在刪除 token 那一段

tokenStore.removeAccessToken(token);

原因：隨著時(shí)間推移，token 越來越多，token 存儲(chǔ)表 oauth_access_token 變得異常的大，所以刪除效率非常差

解決辦法：使用其他 TokenStore，或者清除 oauth_access_token 的表數(shù)據(jù)

到此這篇關(guān)于SpringBoot Security實(shí)現(xiàn)單點(diǎn)登出并清除所有token的文章就介紹到這了,更多相關(guān)SpringBoot Security單點(diǎn)登出內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: