Spring cloud微服务安全实战-5-9实现基于session的SSO(Token有效期)
Posted 青春是课桌下风干的鼻屎,是借了不还的直尺。
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring cloud微服务安全实战-5-9实现基于session的SSO(Token有效期)相关的知识,希望对你有一定的参考价值。
token的有效期
会出现一种情况session有效期还没到。但是token过期了。
用户登陆着,但是token失效了 没法访问服务了。
刷新令牌要和clientId和ClientSecret一起用,发请求才有效。
那么刷新令牌在哪里?在数据库内 我们从来没有配置这个字段。
refresh_token_validity:刷新令牌的有效期。不配置就不会发refresh_token,
什么时候配置上了这个值,就会发refresh_token.这里配置一个 259200 ,30天的有效时间。
token放在请求头里面去获取数据,这里可能就会发生token过期的情况。
过期了我们就需要用refreshToken去刷新一下。
先来看一下过期的样子,这里我们设置为10秒,token的过期时间
把发出去的access_token清理掉。把这个表内的记录都删除掉,
重启认证服务器和admin服务
因为我们的session还是有效的,可以登陆继续访问。但是我们的token信息已经没有了。 所以我会在数据库内生成一条心的token。这个token的有效期只有10秒。
刷新页面,不用登陆就进来了。 点击按钮 把获取order的信息也是可以的
数据库内多出一个token
用这个token去发请求
前两个请求都是成功的,到第三个请求,token已经过期。 再发请求就会报错。
写刷新令牌的代码
在这里判断令牌是否过期,过期就刷新令牌。
加一个过期时间的属性
我们把他改成long类型
过期时间就是当前时间,加上过期的秒数
有了这个时间 ,就可以判断 当前是不是过期了。
过期时间是不是在当前时间之前,是的话 就是过期了。
声明RestTemplate
init方法把自己当前对象返回回去。
有可能是还有几毫秒就过期了。拿到了这个token去访问 访问过程中可能就过期了。所以这里我们再减掉3秒。
声明TokenValue
执行newToken的init方法,及时初始化了新的过期时间。
最终把新的access_token放在请求头上。
callback回调这里修改
这里要init方法调用一下
Oauth加一个配置
指定userDetailsService
下面已经制定了authenticationManager了,上面为什么还要userDetailsService。这个userDetailsService是专门给refresh_token用的。
我们其他的那四种授权模式,当你要认证用户的时候,都是用户名和密码一块对的,不管是授权码还是password,用户名和密码都会传过来。然后会用authenticationManager来验用户名密码。
因为下面这里。的 AuthenticationManagerBuilder这里把用户和密码都设置上了。
当我refresh_token的时候,是没有密码的,只有用户名,这时候我就只需要一个UserDetailsService来获取我的用户信息。↓所以下面这里要单独指定一个userDetailsService给refresh_token来用。
注入userDetailsService
数据库配置
让admin这个client支持 refresh_token 在授权类型这里加一个新的类型
测试
启动认证服务和admin的服务
session都删除了 所以需要重新登陆
多点击几次
大概没隔10秒 都会出现一个比较耗时的请求。这应该就是后台去刷新令牌了。
可以移植点下去 ,不会再报错了。因为refresh_token有效期很长,一个月。可以不断的用refresh_token来刷新令牌。
结束
以上是关于Spring cloud微服务安全实战-5-9实现基于session的SSO(Token有效期)的主要内容,如果未能解决你的问题,请参考以下文章
Spring cloud微服务安全实战-5-6实现授权码认证流程
Spring Cloud微服务安全实战_3-8_API安全之登录
Spring Cloud微服务安全实战_4-1_微服务网关安全_概述&微服务安全面临的挑战