SpringSecurity Oauth2訪問令牌續(xù)期問題

更新時間：2025年04月06日 11:01:01 作者：我一直在流浪

這篇文章主要介紹了SpringSecurity Oauth2訪問令牌續(xù)期問題,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教

1. 訪問令牌的續(xù)期

在Spring Security OAuth2中，訪問令牌的續(xù)期通常是通過使用**刷新令牌（Refresh Token）**來實現(xiàn)的。

當訪問令牌過期時，客戶端可以使用之前獲取的刷新令牌來獲取新的訪問令牌，而不需要再次請求用戶認證。

訪問令牌續(xù)期的基本流程：

① 獲取刷新令牌：當客戶端第一次請求訪問令牌時（例如通過授權(quán)碼模式或密碼模式），可以同時獲取一個刷新令牌。這個刷新令牌可以在訪問令牌過期后用于請求新的訪問令牌。
② 請求新的訪問令牌：當訪問令牌過期時，客戶端可以通過向授權(quán)服務(wù)器發(fā)送一個帶有刷新令牌的請求來獲取新的訪問令牌。

POST /oauth/token
Content-Type: application/x-www-form-urlencoded

grant_type=refresh_token&refresh_token={刷新令牌}&client_id={客戶端ID}&client_secret={客戶端密鑰}

關(guān)鍵參數(shù)：

① grant_type: 需要設(shè)置為 refresh_token，表示這是一個刷新令牌請求。
② refresh_token: 客戶端在最初請求訪問令牌時獲取的刷新令牌。
③ client_id: 客戶端ID，用于標識客戶端。
④ client_secret: 客戶端密鑰，用于驗證客戶端的身份。

刷新令牌的安全性：刷新令牌通常比訪問令牌具有更長的有效期，因此需要更嚴格的保護。可以考慮使用HTTPS來傳輸刷新令牌，并確保客戶端的安全性。

刷新令牌的撤銷：如果用戶注銷或改變密碼，通常需要撤銷刷新令牌以防止繼續(xù)使用。

單次使用刷新令牌：一些實現(xiàn)會確保刷新令牌只能使用一次，每次使用后生成新的刷新令牌以增強安全性。

在Spring Security OAuth2中，自定義UserDetailsService可以幫助你在處理訪問令牌續(xù)期時，增加對用戶信息的自定義檢查或邏輯。

例如，你可以在續(xù)期訪問令牌時檢查用戶狀態(tài)是否有效，或在認證過程中引入更多的自定義用戶邏輯。

2. CustomUserDetailsService

自定義一個UserDetailsService，用于加載用戶特定的數(shù)據(jù)。

這個服務(wù)會在用戶進行身份驗證或令牌續(xù)期時被調(diào)用。

@Service
public class CustomUserDetailService implements UserDetailsService {

    @Autowired
    private UserDao userDao;

    @Autowired
    private PolicyDao policyDao;

    @Autowired
    private RoleDao roleDao;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 從數(shù)據(jù)庫中查找用戶
        UserEntity userEntity = userDao.queryUserByUserName(username);
        if (userEntity == null) {
            throw new UsernameNotFoundException("User not found with username: " + username);
        }
        // 根據(jù)用戶信息查詢角色信息
        List<RoleEntity> roleEntities = roleDao.queryRolesByUserId(userEntity.getId());
        List<String> roleIds = roleEntities.stream().map(RoleEntity::getId).collect(Collectors.toList());
        // 根據(jù)角色信息查詢權(quán)限信息
        List<PolicyEntity> policyEntities = policyDao.queryPolicyByRoleId(roleIds);
        // 查詢權(quán)限名稱
        List<String> policyNames = policyEntities.stream().map(PolicyEntity::getName).collect(Collectors.toList());

        // 構(gòu)造認證用戶權(quán)限信息
        List<SimpleGrantedAuthority> grantedAuthorities
                = policyNames.stream().map(policyName -> new SimpleGrantedAuthority(policyName)).collect(Collectors.toList());

        // 將 UserEntity 轉(zhuǎn)換為 UserDetails 對象
        UserDetails userDetails = User.builder()
                .username(userEntity.getUsername())
                .password(userEntity.getPassword())
                .authorities(grantedAuthorities)
                .accountExpired(false)
                .accountLocked(false)
                .disabled(false)
                .build();
        return userDetails ;
    }
}

3. 配置 AuthorizationServerEndpointsConfigurer

將自定義的 UserDetailsService 注冊到 Spring Security OAuth2 的授權(quán)服務(wù)器中：

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private CustomUserDetailService customUserDetailService;

    @Autowired
    private TokenStore tokenStore;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        // 用于配置授權(quán)服務(wù)器的安全性，如 /oauth/token、/oauth/authorize 等端點的安全性配置。
        // 允許客戶端表單身份驗證
       security.allowFormAuthenticationForClients()
               // 允許所有人訪問令牌驗證端點
               .checkTokenAccess("permitAll()")
               // 僅允許認證后的用戶訪問密鑰端點
               .tokenKeyAccess("isAuthenticated");
    }

    /**
     * 對于每個客戶端應(yīng)用，授權(quán)服務(wù)器會為其分配一個唯一的客戶端ID和客戶端密鑰，并定義其授權(quán)范圍和訪問權(quán)限。
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        // 用于配置客戶端詳細信息服務(wù)，這個服務(wù)用來定義哪些客戶端可以訪問授權(quán)服務(wù)器以及客戶端的配置信息。
        // 將客戶端信息存儲在內(nèi)存中，適合開發(fā)和測試環(huán)境。
        clients.inMemory()
                // 定義客戶端ID
                .withClient("client_id")
                // 定義客戶端密鑰
                .secret(passwordEncoder.encode("client_secret"))
                // 定義客戶端支持的授權(quán)模式。
                .authorizedGrantTypes("password","refresh_token","client_credentials")
                // 設(shè)置訪問令牌的有效期。
                .accessTokenValiditySeconds(3600)
                // 設(shè)置刷新令牌的有效期。
                .refreshTokenValiditySeconds(7200)
                // 定義客戶端的作用范圍。
                .scopes("all");
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        // 用于配置授權(quán)和令牌的端點，以及令牌服務(wù)、令牌存儲、用戶認證等相關(guān)配置。
        // 配置用于密碼模式的 AuthenticationManager。
        endpoints.authenticationManager(authenticationManager)
                // 在刷新令牌時使用此服務(wù)加載用戶信息。
                .userDetailsService(customUserDetailService)
                // 配置令牌的存儲策略，例如內(nèi)存、數(shù)據(jù)庫或 Redis。
                .tokenStore(tokenStore);
    }
}