SpringBootSecurity学习(19)前后端分离版之OAuth2.0 token的存储和管理
内存中存储token
我们来继续授权服务代码的下一个优化。现在授权服务中,token的存储是存储在内存中的,我们使用的是 InMemoryTokenStore :
图中的tokenStore方法支持很多种令牌的存储方式,来看一下:
InMemoryTokenStore:这个版本的实现是被默认采用的,它可以完美的工作在单服务器上(即访问并发量压力不大的情况下,并且它在失败的时候不会进行备份),大多数的项目都可以使用这个版本的实现来进行尝试,你可以在开发的时候使用它来进行管理,因为不会被保存到磁盘中,所以更易于调试。
JwtTokenStore:这个版本的全称是 JSON Web Token(JWT),它可以把令牌相关的数据进行编码(因此对于后端服务来说,它不需要进行存储,这将是一个重大优势),但是它有一个缺点,那就是撤销一个已经授权令牌将会非常困难,所以它通常用来处理一个生命周期较短的令牌以及撤销刷新令牌(refresh_token)。另外一个缺点就是这个令牌占用的空间会比较大,如果你加入了比较多用户凭证信息。JwtTokenStore 不会保存任何数据,但是它在转换令牌值以及授权信息方面与 DefaultTokenServices 所扮演的角色是一样的。
JdbcTokenStore:这是一个基于JDBC的实现,令牌会被保存进关系型数据库。使用这个实现时,你可以在不同的服务器之间共享令牌信息,使用的时候请注意把"spring-jdbc"这个依赖加入到你的classpath当中。
RedisTokenStore : 这是一个基于Redis的实现,令牌会被保Redis缓存中。使用这个实现时,你可以在不同的服务器之间共享令牌信息,使用的时候请注意把redis依赖加入到你的classpath当中。关于redis和数据库存储数据有什么不同和需要注意的地方,这里不再描述。
默认的 InMemoryTokenStore 方式存储也是可以进行查询和删除的,我们来看一下,首先将 InMemoryTokenStore 配置为一个bean:
然后配置时调用这个bean:
我们来看一下 InMemoryTokenStore 类中对token有哪些操作:
从方法的名字可以看出,对token的增删改查操作基本都是齐全的,我们来写两个方法查询和删除token:
类中注入的InMemoryTokenStore正是前面定义的bean,只有这样才能操作内存中的token,下面来看一下测试,先根据前面的流程,申请到令牌,然后查询令牌:
然后测试删除令牌:
然后再根据令牌查询受保护的资源,可以发现无法访问了。
使用内存的方式虽然基本的功能都在,但是缺点上面也提到了,就是只能工作在单服务器上面,无法默认实现token共享,另外测试环境使用内存存储也是比较好的选择。
Redis存储token
令牌除了可以存储在内存中,还可以存储在公共的地方,比如redis中,这样单服务器数据不同步的问题可以解决。存储在redis中首先要引入依赖:
然后配置数据源:
然后修改授权配置类,配置redis存储的bean:
这样redis存储token的配置基本就完成了,然后仿照前面的内存存储操作,写两个接口用来查询和删除redis中的token:
启动项目,按照之前的流程获取令牌,访问保护资源,然后查看redis,可以看到里面存储了我们获取的令牌:
来看查询token接口的效果:
来看删除token接口的效果:
删除后,redis中的token也删除了:
只剩下三个刷新的key。
JDBC存储token
使用jdbc存储token的方式也可以做到token共享,操作类是 JdbcTokenStore ,我们来看一下这个类:
类中定义了好多默认操作的sql语句,总共涉及到两张表:oauth_access_token和oauth_refresh_token(如果客户端的grant_type不支持refresh_token,则不会使用该表),来看一下 oauth_access_token 表的结构:
token_id:该字段的值是将access_token的值通过MD5加密后存储的
token:存储将OAuth2AccessToken.java对象序列化后的二进制数据, 是真实的AccessToken的数据值
authentication_id:该字段具有唯一性, 其值是根据当前的username(如果有),client_id与scope通过MD5加密生成的. 具体实现请参考DefaultAuthenticationKeyGenerator.java类
user_name:登录时的用户名, 若客户端没有用户名(如grant_type="client_credentials"),则该值等于client_id
client_id:你懂得
authentication:存储将OAuth2Authentication.java对象序列化后的二进制数据
refresh_token :该字段的值是将refresh_token的值通过MD5加密后存储的
来看一下 oauth_refresh_token 表的字段结构:
token_id:该字段的值是将refresh_token的值通过MD5加密后存储的.
token:存储将OAuth2RefreshToken.java对象序列化后的二进制数据.
authentication:存储将OAuth2Authentication.java对象序列化后的二进制数据
在数据库中创建这两张表:
然后在pom中引入jdbc依赖,在配置文件中配置数据源,此处不再演示。下一步修改授权配置类:
最后仿照前面,写两个查询和删除token的接口:
使用数据库存储token,比前面两种方式多了很多方法和操作,来看 JdbcTokenStore 类:
除了增删改查的操作多了几个方法,包括sql语句的默认写法也有覆盖的set方法。下面来测试,首先按照前面的流程获取token令牌,然后查询数据库:
可以看到数据库中多了两条token数据,看一下查询token接口:
删除接口:
看一下删除接口调用的方法源码:
只是删除了令牌,更新token的记录还会保留。
代码地址: https://gitee.com/blueses/spring-boot-security 23 24
本文由博客一文多发平台 OpenWrite 发布!
SpringBootSecurity学习(19)前后端分离版之OAuth2.0 token的存储和管理的更多相关文章
- SpringBootSecurity学习(15)前后端分离版之 OAuth2.0简单示例
OAuth2.0 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者.客户端来申请资源,资源所有者同意以后,资源服务器可以向客户端颁发令牌.客户端通过令牌,去请求数据.也就是说, ...
- SpringBootSecurity学习(14)前后端分离版之 OAuth2.0介绍
登录总结 前面基本介绍了security的常规用法,同时介绍了JWT和它的一个简单实现,基本上开发中遇到的登录问题都能解决了,即使在分布式开发,或者微服务开发中实现登录也基本没有问题了.securit ...
- SpringBootSecurity学习(16)前后端分离版之 OAuth2.0 加密配置
示例代码的改进 前面使用spring cloud security和spring cloud oauth2写了一个第三方授权的例子,例子非常的简单,主要目的是用来熟悉OAuth2.0 申请授权的整个流 ...
- SpringBootSecurity学习(17)前后端分离版之 OAuth2.0 数据库(JDBC)存储客户端
自动批准授权码 前面我们授权的流程中,第一步获取授权码的时候,都会经历一个授权是否同意页面: 这个流程就像第三方登录成功后,提问是否允许获取昵称和头像信息的页面一样,这个过程其实是可以自动同意的,需要 ...
- SpringBootSecurity学习(23)前后端分离版之OAuth2.0 其它模式
密码模式 前面介绍了授权码模式和刷新令牌两种获取最新令牌的方法,下面来看一下其它模式.首先看密码模式,我们默认配置的三种模式中其实就包含密码模式的支持: 因此我们启动项目,直接使用密码模式即可,访问地 ...
- SpringBootSecurity学习(20)前后端分离版之OAuth2.0刷新token
刷新token 前面的例子和配置都是从头开始申请授权码和令牌,现在来看一下如何根据获取令牌时,回参中的 refresh_token 来刷新令牌.现在在项目中配置的是内存模式的默认用户名密码,第一步先改 ...
- SpringBootSecurity学习(21)前后端分离版之OAuth2.0非对称加密
JWT转换器 前面的例子中,都是在授权服务配置类中配置了一个很简单的jwt转换器,如下: 可以看到我们只用setSigningKey方法配置了一个秘钥,这里使用的是简单的对称加密的方式来加密jwt内容 ...
- SpringBootSecurity学习(22)前后端分离版之OAuth2.0自定义授权码
使用JDBC维护授权码 前面的代码中,测试流程第一步都是获取授权码,然后再携带授权码去申请令牌,授权码示例如下: 产生的授权码默认是 6 位的,产生以后并没有做任何管理,可以说是一个临时性的授权码,o ...
- SpringBootSecurity学习(24)前后端分离版之OAuth2.0 应用登记
应用登记 一个应用要求 OAuth 授权,必须先到对方网站登记,让对方知道是谁在请求.举个例子,下面是github的登记页面: https://github.com/settings/applicat ...
随机推荐
- poj1273 Drainage Ditches (最大流板子
网络流一直没学,来学一波网络流. https://vjudge.net/problem/POJ-1273 题意:给定点数,边数,源点,汇点,每条边容量,求最大流. 解法:EK或dinic. EK:每次 ...
- 字符编码与gcc 编译器的编码问题
最近在 vscode 中借助 gcc 编译器来配置 c 语言开发环境时,发现中文编码存在乱码问题.再加上最近学习到多字节字符与宽字符,搅在一起,搞得很乱,就把自己的理解写下来,供有需者参考吧. 1. ...
- SpringBoot + JPA问题汇总
实体类有继承父类,但父类没有单独标明注解 异常表现 Caused by: org.hibernate.AnnotationException: No identifier specified for ...
- Python---网页元素
文章目录 1. 前言 万维网 万维网的关键技术 2. 网页基本框架 HTML CSS: JavaScript 在介绍审查元素之前我们先简单介绍一下网页的基本框架 1. 前言 万维网 万维网(英语:Wo ...
- 对TD tree系统评价及改进
该系统是由石家庄铁道大学2017级信息学院的同学研发并改进,分享给我们18级新生的一份体验,这项app可安装在任意一个智能手机上,当听到学长们像我们介绍这款app的时候,着实让我惊呆了,惊叹学长们的编 ...
- Java IO写文件效率
写入方法: /** *1 按字节写入 FileOutputStream * * @param count 写入循环次数 * @param str 写入字符串 */ public void output ...
- 爬取凤凰网站财经类的新闻,函数时编程,可全部实现,由于内容量大,需要时间太长,服务器会禁止,为了防止,可以将time.sleep()设置的时间长点
import requests from selenium import webdriver import time def grasp(urlT): driver = webdriver.Chrom ...
- Winform中通过代码给PanelControl添加子控件并进行定位
场景 DevExpress的PanelControl常用进行窗体页面的布局. 一般是拖拽一个PannelControl,然后是再拖拽其他控件. 如果是由代码生成控件并控制布局的话,怎样实现. 关注公众 ...
- Winform中对自定义xml配置文件进行Xml节点的添加与删除
场景 Winform中自定义xml配置文件后对节点进行读取与写入: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/10053213 ...
- apache ignite系列(九):ignite调优
1,配置文件调优 1.1 设置页面大小(pagesize) 先查看系统pagesiz,使用PAGE_SIZE或者PAGESIZE # getconf PAGE_SIZE 4096 # getconf ...