个性化Token 目的
  
  默认通过调用 /oauth/token 返回的报文格式包含以下参数
  
  {
  
  "access_token": "e6669cdf-b6cd-43fe-af5c-f91a65041382",
  
  "token_type": "bearer",
  
  "refresh_token": "da91294d-446c-4a89-bdcf-88aee15a75e8",
  
  "expires_in": 43199,
  
  "scope": "server"
  
  }
  
  并没包含用户的业务信息比如用户信息、租户信息等。
  
  扩展生成包含业务信息(如下),避免系统多次调用,直接可以通过认证接口获取到用户信息等,大大提高系统性能
  
  {
  
  "access_token":"a6f3b6d6-93e6-4eb8-a97d-3ae72240a7b0",
  
  "token_type":"bearer",
  
  "refresh_token":"710ab162-a482-41cd-8bad-26456af38e4f",
  
  "expires_in":42396,
  
  "scope":"server",
  
  "tenant_id":1,
  
  "license":"made by pigx",
  
  "dept_id":1,
  
  "user_id":1,
  
  "username":"admin"
  
  }
  
  密码模式生成Token 源码解析
  
  image
  
  ​ 主页参考红框部分
  
  ResourceOwnerPasswordTokenGranter (密码模式)根据用户的请求信息,进行认证得到当前用户上下文信息
  
  protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {
  
  Map<String, String> parameters = new LinkedHashMap<String, String>(tokenRequest.getRequestParameters());
  
  String username = parameters.get("username");
  
  String password = parameters.get("password");
  
  // Protect from downstream leaks of password
  
  parameters.remove("password");
  
  Authentication userAuth = new UsernamePasswordAuthenticationToken(username, password);
  
  ((AbstractAuthenticationToken) userAuth).setDetails(parameters);
  
  userAuth = authenticationManager.authenticate(www.yinxionghui1.com/ userAuth);
  
  OAuth2Request storedOAuth2Request = getRequestFactory().createOAuth2Request(client, tokenRequest);
  
  return new OAuth2Authentication(storedOAuth2Request, userAuth);
  
  }
  
  然后调用AbstractTokenGranter.getAccessToken() 获取OAuth2AccessToken
  
  protected OAuth2AccessToken getAccessToken(ClientDetails client, TokenRequest tokenRequest) {
  
  return tokenServices.createAccessToken(getOAuth2Authentication(client, tokenRequest));
  
  }
  
  默认使用DefaultTokenServices来获取token
  
  public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {
  
  ... 一系列判断 ,合法性、是否过期等判断
  
  OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);
  
  tokenStore.storeAccessToken(accessToken,www.dasheng178.com authentication);
  
  // In case it was modified
  
  refreshToken = accessToken.getRefreshToken();
  
  if (refreshToken != null) {
  
  tokenStore.storeRefreshToken(refreshToken, authentication);
  
  }
  
  return accessToken;
  
  }
  
  createAccessToken 核心逻辑
  
  // 默认刷新token 的有效期
  
  private int refreshTokenValiditySeconds = 60 * 60 * 24 * 30; // default 30 days.
  
  // 默认token 的有效期
  
  private int accessTokenValiditySeconds = 60 * 60 * 12; // default 12 hours.
  
  private OAuth2AccessToken createAccessToken(www.michenggw.com OAuth2Authentication authentication, OAuth2RefreshToken refreshToken) {
  
  DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(uuid);
  
  token.setExpiration(Date)
  
  token.setRefreshToken(refreshToken);
  
  token.setScope(authentication.getOAuth2Request(www.tianshengyuLe1.cn).getScope());
  
  return accessTokenEnhancer != null ? accessTokenEnhancer.enhance(token, authentication) : token;
  
  }
  
  如上代码,在拼装好token对象后会调用认证服务器配置TokenEnhancer( 增强器) 来对默认的token进行增强。
  
  TokenEnhancer.enhance 通过上下文中的用户信息来个性化Token
  
  public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
  
  final Map<String, Object> additionalInfo = new HashMap<www.zhongxinyul2.com>(8);
  
  PigxUser pigxUser =www.yongshi123.cn (PigxUser) authentication.getUserAuthentication().getPrincipal();
  
  additionalInfo.put("user_id", pigxUser.getId());
  
  additionalInfo.put("username", pigxUser.getUsername());
  
  additionalInfo.put("dept_id", pigxUser.getDeptId());
  
  additionalInfo.put("tenant_id", pigxUser.getTenantId());
  
  additionalInfo.put("license", SecurityConstants.PIGX_LICENSE);
  
  ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);
  
  return accessToken;
  
  }
  
  基于pig 看下最终的实现效果
  
  Pig 基于Spring Cloud、oAuth2.0开发基于Vue前后分离的开发平台,支持账号、短信、SSO等多种登录,提供配套视频开发教程。

Spring Security OAuth 个性化token的更多相关文章

  1. Spring Security OAuth 格式化 token 输出

    个性化token 背景 上一篇文章<Spring Security OAuth 个性化token(一)>有提到,oauth2.0 接口默认返回的报文格式如下: {     "ac ...

  2. Spring Security OAuth 2.0

    续·前一篇<OAuth 2.0> OAuth 2.0 Provider 实现 在OAuth 2.0中,provider角色事实上是把授权服务和资源服务分开,有时候它们也可能在同一个应用中, ...

  3. Spring Security + OAuth系统环境搭建(一)

    最近在做权限管理系统的重构工作,系统基于Spring Security + OAuth架构,整体架构.技术和之前调研的结果差不多,架构调研时有在这篇博客做过简单记录“Spring Cloud微服务下的 ...

  4. Spring Security OAuth笔记

    因为工作需要,系统权限安全方面可能要用到Spring Security OAuth2.0,所以,近几天了解了一下OAuth相关的东西.目前好像还没有系统的学习资料,学习主要是通过博客,内容都是大同小异 ...

  5. Spring Security OAuth 2开发者指南译

    Spring Security OAuth 2开发者指南译 介绍 这是用户指南的支持OAuth 2.0.对于OAuth 1.0,一切都是不同的,所以看到它的用户指南. 本用户指南分为两部分,第一部分为 ...

  6. 使用Redis作为Spring Security OAuth2的token存储

    写在前边 本文对Spring Security OAuth2的token使用Redis保存,相比JWT实现的token存储,Redis可以随时吊销access_token,并且Redis响应速度很快, ...

  7. 【微服务】 数据库案例理解Spring Security OAuth

    突然被问,你是做技术的怎么不走技术路线呢?是啊~仔细想想至今做了这么多年的技术,研发过的系统&产品五花八门,涉及到的领域各行各业:政府.军队.公安.国安.石油&石化.金融.教育.华为等 ...

  8. Spring Security OAuth 笔记

    1  单点登录 关于单点登录的原理,我觉得下面这位老哥讲的比较清楚,有兴趣可以看一下,下面我把其中的重点在此做个笔记总结 https://juejin.cn/post/6844904079274197 ...

  9. Spring Security OAuth正式终止维护,已从官网下架

    Spring Security团队正式宣布Spring Security OAuth终止维护. 目前官网的主页已经高亮提醒彻底停止维护. 旧的Spring Security OAuth项目终止到2.5 ...

随机推荐

  1. 在vsphere6.5启用Tesla K80

    基础环境: vsphere6.5 VMware vCenter6.5 宝德服务器2750S Tesla K80 0x01 选择主机,配置→硬件→PCI设备→添加K80显卡 注意:1.添加完显卡后,主机 ...

  2. 小强版之无码理解C语言指针

     1. 先从普通变量开始   2. 撸完变量撸指针   3. 故事情节进一步发展,此处少儿不宜   4. 奶茶妹妹捉奸,小强死定了   5. 源码欣赏  #include <stdio.h> ...

  3. linux下实现压测-html报表生成-控制台参数优化【jmeter】

    jmeter - 单机压测 - 命令行模式-html报表生成-控制台参数优化 一/ 准备工作 1.压力机安装并配置好 jdk 2.调试好程序脚本 再上传到 linux下 3.进入jmeter  bin ...

  4. scrapy有用的(代理,user-agent,随机延迟等)

    代理 方法一(待测试) 见scrapy.downloadermiddlewares.httpproxy.HttpProxyMiddleware import os # 设置相应的代理用户名密码,主机和 ...

  5. iOS中使用RNCryptor对资源文件加密(先加密后拖进项目中)

    概述:IPA 在发布时,业务相关的敏感资源文件以明文的形式存储,由于没有加密保护,这些文件在应用发布后 可能被其他人获取,并结合其他漏洞和手段产生真实攻击.所以我们要 1.在设计.开发阶段,集合业务确 ...

  6. 第十三次作业psp

    psp 进度条 代码累积折线图 博文累积折线图 psp饼状图

  7. C++:友元

    前言:友元对于我来说一直是一个难点,最近看了一些有关友元的课程与博客,故在此将自己的学习收获做一个简单的总结 一.什么是友元 在C++的自定义类中,一个常规的成员函数声明往往意味着: • 该成员函数能 ...

  8. Class 2 四则运算2的设计思路

    设计思路 1.主函数中有一个大的for循环,用户可以一直随机得到相应题目.在嵌套一个循环,其可以直接确定题目数量:定义两个变量,分别作为四则运算的两个运算数,用随机数函数得到两个数值:再利用随机生成函 ...

  9. struts2 Action生命周期

    Struts2.0中的对象既然都是线程安全的,都不是单例模式,那么它究竟何时创建,何时销毁呢? 这个和struts2.0中的配置有关,我们来看struts.properties ### if spec ...

  10. Akka系列---什么是Actor

    本文已.Net语法为主,同时写有Scala及Java实现代码 严肃的说,演员是一个广泛的概念,作为外行人我对Actor 模型的定义: Actor是一个系统中参与者的虚拟人物,Actor与Actor之间 ...