Token 校验逻辑

// CheckTokenEndpoint.checkToken

@RequestMapping(value = "/oauth/check_token")

@ResponseBody

public Map<String, ?> checkToken(@RequestParam("token") String value) {

    // 根据 token 查询保存在 tokenStore 的令牌全部信息

	OAuth2AccessToken token = resourceServerTokenServices.readAccessToken(value);

	if (token == null) {

		throw new InvalidTokenException("Token was not recognised");

	}

	if (token.isExpired()) {

		throw new InvalidTokenException("Token has expired");

	}

    // 根据 token 查询保存的 认证信息 还有权限角色等 (业务信息)

	OAuth2Authentication authentication = resourceServerTokenServices.loadAuthentication(token.getValue());

	return accessTokenConverter.convertAccessToken(token, authentication);

}
    1. 当客户端带着 header token 访问 oauth2 资源服务器,资源服务器会自动拦截 token
    1. 发送 token 到 认证服务器 校验 token 合法性
    1. 若认证服务器返回给资源服务器是token不合法,则资源服务器返回给客户端对应的信息

Token 生成逻辑

    //DefaultTokenServices.createAccessToken 代码逻辑

	public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {

        // 根据用户信息(username),查询已下发的token

		OAuth2AccessToken existingAccessToken = tokenStore.getAccessToken(authentication);

		OAuth2RefreshToken refreshToken = null;

	    // 存在已下发的token

		if (existingAccessToken != null) {

		    // 1. token 已经被标志过期,则删除

			if (existingAccessToken.isExpired()) {

				if (existingAccessToken.getRefreshToken() != null) {

					refreshToken = existingAccessToken.getRefreshToken();

					tokenStore.removeRefreshToken(refreshToken);

				}

				tokenStore.removeAccessToken(existingAccessToken);

			}

			else {

				// 直接返回存在的 token,并保存一下token 和 用户信息的关系 (username)

				tokenStore.storeAccessToken(existingAccessToken, authentication);

				return existingAccessToken;

			}

		}

        // 不存在则创建新的 token

		OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);

		tokenStore.storeAccessToken(accessToken, authentication);

		// In case it was modified

		refreshToken = accessToken.getRefreshToken();

		if (refreshToken != null) {

			tokenStore.storeRefreshToken(refreshToken, authentication);

		}

		return accessToken;

	}
    1. 当我们通过oauth2 去获取 token 时,若当前用户已经存在对应的token,直接返回而不不会创建新 token。
    1. 这就意味着,虽然设置了对应客户端获取 token 的有效时间,这里获取到的token

      若是已下发旧token,有效时间不会和session 机制一样自动续期。
    1. 综上情况,在操作过程中token 过期是一个常态化的问题。

Token 刷新逻辑

curl --location --request POST 'http://auth-server/oauth/token?grant_type=refresh_token' \

--header 'Authorization: Basic dGVzdDp0ZXN0' \

--header 'VERSION: dev' \

--data-urlencode 'scope=server' \

--data-urlencode 'refresh_token=eccda61e-0c68-43af-8f67-6302cb389612'

若上,当 前端拿着正确的(未过期且未使用过)refresh_token 去调用 认证中心的刷新 端点刷新时,会 触发RefreshTokenGranter, 返回新的 Token

public class RefreshTokenGranter extends AbstractTokenGranter {

	@Override

	protected OAuth2AccessToken getAccessToken(ClientDetails client, TokenRequest tokenRequest) {

		String refreshToken = tokenRequest.getRequestParameters().get("refresh_token");

		return getTokenServices().refreshAccessToken(refreshToken, tokenRequest);

	}

}
  • refreshAccessToken 代码实现,调用 tokenStore 生成新的token
@Transactional(noRollbackFor={InvalidTokenException.class, InvalidGrantException.class})

	public OAuth2AccessToken refreshAccessToken(String refreshTokenValue, TokenRequest tokenRequest)

			throws AuthenticationException {

	   createRefreshedAuthentication(authentication, tokenRequest);

		if (!reuseRefreshToken) {

			tokenStore.removeRefreshToken(refreshToken);

			refreshToken = createRefreshToken(authentication);

		}

		OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);

		tokenStore.storeAccessToken(accessToken, authentication);

		if (!reuseRefreshToken) {

			tokenStore.storeRefreshToken(accessToken.getRefreshToken(), authentication);

		}

		return accessToken;

	}

客户端(前端)何时刷新

被动刷新

  1. 客户端携带 token 访问资源服务器资源

  2. 资源服务器拦截 token 去认证服务器 check_token

  3. 认证服务器返回 token 过期错误,资源服务器包装错误信息返回给客户端

  4. 客户端根据返回错误信息(响应码),直接调用认证服务器 refresh_token

  5. 认证服务器返回新的 token 给客户端, 然后再次发起 资源调用

被动请求的缺点是,用户当次请求会失败(返回token失败),对一些业务连贯的操作不是很友好

主动刷新

  1. 客户端存在计算逻辑,计算下发token 有效期

  2. 若token要过期之前,主动发起刷新

主动请求的缺点是,客户端占用部分计算资源来处理 token 失效问题

  // 10S检测token 有效期

  refreshToken() {

    this.refreshTime = setInterval(() => {

      const token = getStore({

        name: 'access_token',

        debug: true

      })

      if (this.validatenull(token)) {

        return

      }

      if (this.expires_in <= 1000 && !this.refreshLock) {

        this.refreshLock = true

        this.$store

          .dispatch('RefreshToken')

          .catch(() => {

            clearInterval(this.refreshTime)

          })

        this.refreshLock = false

      }

      this.$store.commit('SET_EXPIRES_IN', this.expires_in - 10)

    }, 10000)

  },

『★★★★★』 基于Spring Boot 2.2、 Spring Cloud Hoxton & Alibaba、 OAuth2 的RBAC 权限管理系统

项目推荐: Spring Cloud 、Spring Security OAuth2的RBAC权限管理系统 欢迎关注

聊聊 OAuth 2.0 的 Token 续期处理的更多相关文章

  1. 我也想聊聊 OAuth 2.0 —— Access Token

    这是一篇待在草稿箱半年之久的文章 连我自己都不知道我的草稿箱有多少未发布的文章了.这应该是我在上一家公司未解散之前写的,记得当时是要做一个开发者中心,很不幸. 今天,打开草稿箱有种莫名的伤感,看到这个 ...

  2. 聊聊 OAuth 2.0 的 token expire_in 使用

    问题背景 有同学私信问了这样的问题,访问 pig4cloud 的演示环境 查看登录请求 network 返回报文如下: { "access_token":"16d3579 ...

  3. 我也想聊聊 OAuth 2.0 —— 基本概念

    这是一篇待在草稿箱半年之久的文章 连我自己都不知道我的草稿箱有多少未发布的文章了.这应该是我在上一家公司未解散之前写的,记得当时是要做一个开发者中心,很不幸. 今天,打开草稿箱有种莫名的伤感,看到这个 ...

  4. OAuth 2.0: Bearer Token Usage

    Bearer Token (RFC 6750) 用于HTTP请求授权访问OAuth 2.0资源,任何Bearer持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密key.一个Bearer代表 ...

  5. Bearer Token & OAuth 2.0

    Bearer Token & OAuth 2.0 access token & refresh token http://localhost:8080/#/login HTTP Aut ...

  6. ASP.NET WebApi OWIN 实现 OAuth 2.0

    OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用. OAuth 允许用户提供一个令牌, ...

  7. NET WebApi OWIN 实现 OAuth 2.0

    NET WebApi OWIN 实现 OAuth 2.0 OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和 ...

  8. [转]ASP.NET WebApi OWIN 实现 OAuth 2.0

    OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用. OAuth 允许用户提供一个令牌, ...

  9. IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习保护API

    IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习之保护API. 使用IdentityServer4 来实现使用客户端凭据保护ASP.N ...

随机推荐

  1. webpack + ts 配置路径别名无死角方法总结

    webpack + ts 配置路径别名总结 自我体验加总结:在配置脚手架时,定制别名很有必要,可以使得代码更优雅,可读性更强.但在使用ts的时候,即便项目能够运行,vscode 确时长会提示 can' ...

  2. 哪些原因会导致JAVA进程退出?

    本文转载自哪些原因会导致JAVA进程退出? 导语 JAVA进程消失可能有哪些原因? 那我们就开一篇文章说一下这个问题,其实很easy的,无外乎三种情况. linux的OOM killer杀死 JVM自 ...

  3. 推荐一款好用的免费远程控制软件——ToDesk

    创作立场声明:我在本文中评测的软件为自用,感觉不错并且全免费,第一时间发出来和大家分享,欢迎理性观点交流碰撞. 疫情刚开始的时候,待在家里不能上班,但是还是有很多工作需要在线完成,常常需要跑回办公室拿 ...

  4. Docker 概述(一)

    1-1 虚拟化技术发展史 在虚拟化技术出现之前,如果我们想搭建一台服务器,我们需要做如下的工作: 购买一台硬件服务器:在硬件服务器上安装配置操作系统系统:在操作系统之上配置应用运行环境:部署并运行应用 ...

  5. PVE更新WEB管理地址

    PVE也是一台Linux系统,如果PVE更换了网络环境,比如从家里拿到了办公室,那么就需要对其更新网络,才能让其它机器访问到它的8006管理地址. 具体做法是通过修改配置文件来更改IP. 更新网卡配置 ...

  6. Hadoop hdfs副本存储和纠删码(Erasure Coding)存储优缺点

    body { margin: 0 auto; font: 13px / 1 Helvetica, Arial, sans-serif; color: rgba(68, 68, 68, 1); padd ...

  7. php伪协议分析与CTF例题讲解

                本文大量转载于:https://blog.csdn.net/qq_41289254/article/details/81388343 (感谢博主) 一,php://  访问输入 ...

  8. 前端学习 node 快速入门 系列 —— 模块(module)

    其他章节请看: 前端学习 node 快速入门 系列 模块(module) 模块的导入 核心模块 在 初步认识 node 这篇文章中,我们在读文件的例子中用到了 require('fs'),在写最简单的 ...

  9. Distributed Cache(分布式缓存)-SqlServer

    分布式缓存是由多个应用服务器共享的缓存,通常作为外部服务存储在单个应用服务器上,常用的有SqlServer,Redis,NCache. 分布式缓存可以提高ASP.NET Core应用程序的性能和可伸缩 ...

  10. incubator-dolphinscheduler 如何在不写任何新代码的情况下,能快速接入到prometheus和grafana中进行监控

    一.prometheus和grafana 简介 prometheus是由谷歌研发的一款开源的监控软件,目前已经贡献给了apache 基金会托管. 监控通常分为白盒监控和黑盒监控之分. 白盒监控:通过监 ...