如何在spring + java中添加(覆盖) oAuth2访问令牌的过期时间
在Spring + Java中添加或覆盖OAuth2访问令牌的过期时间,可以通过定制TokenEnhancer来实现。TokenEnhancer是一个接口,用于对OAuth2访问令牌进行自定义增强处理。
下面是一种实现方法:
- 创建一个实现TokenEnhancer接口的类,例如CustomTokenEnhancer。在该类中重写enhance方法,对访问令牌进行增强处理。
import org.springframework.security.oauth2.common.DefaultOAuth2AccessToken;
import org.springframework.security.oauth2.common.OAuth2AccessToken;
import org.springframework.security.oauth2.provider.OAuth2Authentication;
import import org.springframework.security.oauth2.provider.token.TokenEnhancer;
public class CustomTokenEnhancer implements TokenEnhancer {
@Override
public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
// 获取当前访问令牌的额外信息
Map<String, Object> additionalInfo = new HashMap<>();
additionalInfo.put("expiration", "自定义过期时间");
// 设置增强后的访问令牌的额外信息
((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);
return accessToken;
}
}- 在Spring Security的配置类中,将CustomTokenEnhancer应用到认证服务器的TokenEnhancer链中。
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.provider.token.TokenEnhancerChain;
import org.springframework.security.oauth2.provider.token.store.JdbcTokenStore;
import javax.sql.DataSource;
import java.util.Arrays;
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private DataSource dataSource;
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private UserDetailsService userDetailsService;
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.jdbc(dataSource);
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
// TokenEnhancer链
TokenEnhancerChain enhancerChain = new TokenEnhancerChain();
enhancerChain.setTokenEnhancers(Arrays.asList(new CustomTokenEnhancer()));
endpoints.tokenStore(new JdbcTokenStore(dataSource))
.tokenEnhancer(enhancerChain)
.authenticationManager(authenticationManager)
.userDetailsService(userDetailsService);
}
}通过以上步骤,您可以在Spring + Java中成功添加或覆盖OAuth2访问令牌的过期时间。在CustomTokenEnhancer中,您可以根据自己的业务逻辑,动态设置访问令牌的过期时间或其他额外信息。
注意:这里仅提供了一个示例实现,具体的实际业务逻辑可能会有所不同,您可以根据自己的需求进行适当调整和扩展。另外,还需确保正确配置数据库和其他相关的Spring Security和Spring OAuth2组件。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云API网关:https://cloud.tencent.com/product/apigateway
- 腾讯云数据库(MySQL):https://cloud.tencent.com/product/cdb
- 腾讯云容器服务(TKE):https://cloud.tencent.com/product/tke
- 腾讯云云服务器(CVM):https://cloud.tencent.com/product/cvm
- 腾讯云对象存储(COS):https://cloud.tencent.com/product/cos
- 腾讯云人工智能平台(AI):https://cloud.tencent.com/product/ai
- 腾讯云物联网开发平台(IoT):https://cloud.tencent.com/product/iot
- 腾讯云移动开发平台(MPS):https://cloud.tencent.com/product/mps
- 腾讯云区块链服务(BCS):https://cloud.tencent.com/product/bcs
- 腾讯云游戏服务引擎(GSE):https://cloud.tencent.com/product/gse
注意:以上链接仅供参考,具体产品的选择应根据实际需求和技术评估来确定。
相关·内容
我遇到这样一种情况:授权服务器没有向令牌响应返回expires_in字段,但令牌在特定时间后过期。我可以在代码中的某个地方手动设置吗? 下面是我的ROPC代码。
浏览 35提问于2019-06-25得票数 1
2回答
我们有一个独立的Java应用程序(参见),它定期运行并使用Google (从客户数据库/ldap/.更新一些信息)。为了访问Google,我们将用户名和密码存储在配置文件中,这是一个安全风险,客户不喜欢这样做。因此,我们希望使用OAuth2长寿访问令牌代替。
谷歌OAuth2访问令牌的默认过期时间是多少?由于应用程序中只有<
浏览 2提问于2012-12-13得票数 73
30分钟的不活动意味着(没有使用访问令牌的请求),然后会话将过期,用户需要再次创建令牌。但如果请求完成,则将从当前时间起给予30分钟(当前时间+ 30分钟)。我们如何使用oauth2 spring安全和spring session或者使用oauth2 spring安全的任何其他方式来实现这一点。
浏览 38提问于2020-05-12得票数 0
2回答
我有一个授权服务器和多个使用OAuth2的资源服务器。所有这些都是使用Spring Security OAuth2实现的。我也有前端客户端,它使用授权代码流生成令牌。我的情况是,如果刷新令牌的有效性是2小时,而访问令牌的有效性是1小时。首先,获取令牌没有问题(这两个令牌都是新的。1小时后,访问令牌</e
浏览 44提问于2021-03-07得票数 1
2回答
我正在使用库来实现oauth2服务器。
目前,我使用访问令牌对每个请求进行身份验证,在访问令牌过期时使用刷新令牌,因此如果刷新令牌未过期,则服务器将返回新的访问令牌。我想用Oauth2实现标准的“PHP会话超时”。因此,从上次请求到XX分钟后,我的令牌将无效(如果同时没有请求),这意味着我将在每个请求上延长我<
浏览 1提问于2016-01-08得票数 3
1回答
当我尝试使用spring-boot-starter-oauth2-resource-server依赖并将我的服务设置为oauth2 resource service时,我遇到了一个问题。我配置了没有spring oauth2 resource server的spring.security.oauth2.resourceserver.jwt.issuer-uri,也没有配置jwk-set-uri我心中的疑问是:
客户端通过向资
浏览 38提问于2022-06-30得票数 -1
我使用Spring Security OAuth2在我的web应用程序和中央授权服务器之间实现身份验证。我同时使用授权类型password和client_credentials。对于password令牌,我将过期时间设置为短时间,并提供一个长寿命的刷新令牌来续订访问令牌。过期时间配置通过更改表oauth_client_details中列acces
浏览 0提问于2019-01-28得票数 0
1回答
我正在开发一个使用JavaMail的Java应用程序。目前,我正在尝试连接到一个使用OAuth2的邮件提供商。提供程序返回访问令牌和刷新令牌。过了一段时间,我的应用程序无法工作,因为访问令牌已经过期。现在我需要使用我的刷新令牌来获得一个新的访问令牌。但是,我不知道如何在Jav
浏览 6提问于2014-05-28得票数 0
回答已采纳
我想在我的网络服务中使用OAuth2验证安卓应用程序。经过一些研究,我知道我应该使用/oauth/authorize端点,它为我提供隐式身份验证。但是,在重定向到登录页面并成功登录后,服务器最终返回访问令牌。过期后,用户必须重新登录。这是我的场景中的一个问题,我也希望获得刷新令牌,以便能够使用它,以便在旧令牌过期时获得访问令牌。使用sp
浏览 24提问于2016-08-31得票数 0
我正在编写一个使用API定期将数据添加到google工作表的脚本。谷歌推荐使用oauth2client python包来完成这个过程。由于我想让这个脚本运行一段时间,有没有一种方法可以验证身份验证是否仍然有效,如果不是,则重新进行身份验证?
浏览 2提问于2017-11-30得票数 0
2回答
手机应用中的Oauth2流是好的吗?用户使用我的移动应用程序从我的服务器访问公共数据时的客户端凭据:步骤3:如果访问<em
浏览 1提问于2015-09-09得票数 0
我正在使用omniauth-salesforce gem来访问我的rails应用程序中的salesforce数据。我可以使用oauth登录到salesforce,并立即在我的应用程序中取回授权码。但是如何获得进一步REST调用的访问令牌呢?
浏览 0提问于2012-03-15得票数 3
1回答
有没有办法将访问令牌的过期时间从1小时更改为更短的时间?我最初认为JWT声明集的exp声明中的值将设置访问令牌的过期时间,但事实并非如此。我询问的原因是,我们正在创建一个服务器到服务器的应用程序,它将使用Google的provisioning api来更新我们员工的<
浏览 0提问于2014-12-16得票数 1
我使用mongo自定义tokenStore和codeService:public class MongoTokenStore implements TokenStoremap(MongoAccessToken::getOAuth2AccessToken) }这是我的定制tokenServices.setTokenStore(tokenStore);
return tokenSer
浏览 1提问于2016-11-27得票数 0
我们正在开发一个Grails 3.2.12项目,使用Spring Security Core(3.0.0)和Spring Security Rest插件(2.0.0.M2)进行用户授权和访问控制。现在,我们需要实现一种方法,使用户访问在系统中处于非活动状态15分钟后过期。
项目配置为登录15分钟后访问令牌过期,刷新令牌流程处于非活动状态,因此用户需要重新登录。问题是刷新令牌在默认情况下永远不会<em
浏览 4提问于2018-12-08得票数 1
1回答
使用中频控制器
、、
我有一个访问令牌和一个刷新令牌。因此,在每个HTTP请求之后,我希望检查访问令牌是否过期。这是可以实现的,如果我在每个HTTP请求之后添加一个jmeter控制器。是否有一种方法可以在全局范围内设置IF控制器(在每个请求之前不进行检查)。
浏览 0提问于2019-08-27得票数 1
回答已采纳
有谁能帮助我在XML中进行非常基本的配置,使我的spring应用程序充当OAuth2/OIDC资源服务器以及cilent。一个具有Secuirity身份验证的Spring应用程序。如果用户试图访问我的应用程序中的任何资源(例如index.html),应该要求他提供他的凭据(可以是弹出窗口,也可以是重定向登录页面)。应用程序应该与第三方授权服务器连接,并获取OAuth2
浏览 3提问于2018-01-14得票数 5
回答已采纳
1回答
我正在构建一个REST作为移动应用程序的后端。我想检查一下对API的请求是否来自我们的移动应用程序。但是,API需要最终用户登录才能访问某些端点。我的问题是,如何对所有传入的请求进行身份验证,以确保它们来自我们自己的应用程序,同时对某些请求的最终用户进行身份验证?我正在考虑发送一个API密钥,其中包含身份验证HTTP头中的所有请求,以验证移动应用程序,并且(用逗号分隔)还发送一个JWT来验证最终用户。虽然这是可行的,
浏览 0提问于2018-07-19得票数 0
我对访问令牌感到很困难。我是网络开发的新手,在前端扮演一个角色。但是,我想知道如何访问从服务器发出的访问令牌。所以,逻辑如下,
我需要一个代码来访问访问令牌,所以如果有,我可以访问</e
浏览 2提问于2022-07-28得票数 1
我正在阅读关于OAuth2如何工作的文章。这是一个很好的来源,我想我已经了解了OAuth2如何工作的基本知识。当阅读Authorization grant时,这涉及到授予对应用服务器(我的服务器)的访问权,该服务器通过注册的重定向URI交换从授权服务器(如facebook)接收的授权代码。然后,我的服务器将此授权代码交换为access_token和刷新令牌。当<e
浏览 3提问于2014-10-24得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
云直播
对象存储活动推荐
腾讯云开发者
