如何在 Spring Security 中刷新令牌
Posted
技术标签:
【中文标题】如何在 Spring Security 中刷新令牌【英文标题】:How can I refresh tokens in Spring security 【发布时间】:2020-12-05 03:26:18 【问题描述】:这一行:
Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
当我的 jwt 令牌过期时抛出这样的错误:
JWT 于 2020-05-13T07:50:39Z 过期。当前时间: 2020-05-16T21:29:41Z.
更具体地说,正是这个函数引发了“ExpiredJwtException”异常:
我该如何处理这些异常?我应该抓住他们并向客户发送错误消息并强制他们重新登录吗?
如何实现刷新令牌功能?我在后端使用 Spring 和 mysql,在前端使用 vuejs。
我像这样生成初始令牌:
@Override
public JSONObject login(AuthenticationRequest authreq)
JSONObject json = new JSONObject();
try
Authentication authentication = authenticationManager.authenticate(
new UsernamePasswordAuthenticationToken(authreq.getUsername(), authreq.getPassword()));
UserDetailsImpl userDetails = (UserDetailsImpl) authentication.getPrincipal();
List<String> roles = userDetails.getAuthorities().stream().map(item -> item.getAuthority())
.collect(Collectors.toList());
if (userDetails != null)
final String jwt = jwtTokenUtil.generateToken(userDetails);
JwtResponse jwtres = new JwtResponse(jwt, userDetails.getId(), userDetails.getUsername(),
userDetails.getEmail(), roles, jwtTokenUtil.extractExpiration(jwt).toString());
return json.put("jwtresponse", jwtres);
catch (BadCredentialsException ex)
json.put("status", "badcredentials");
catch (LockedException ex)
json.put("status", "LockedException");
catch (DisabledException ex)
json.put("status", "DisabledException");
return json;
然后在 JwtUtil 类中:
public String generateToken(UserDetails userDetails)
Map<String, Object> claims = new HashMap<>();
return createToken(claims, userDetails.getUsername());
private String createToken(Map<String, Object> claims, String subject)
return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(new Date(System.currentTimeMillis()))
.setExpiration(new Date(System.currentTimeMillis() + EXPIRESIN))
.signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();
更多信息,这里是过滤每个请求的 doFilterInternal 函数:
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
throws ServletException, IOException, ExpiredJwtException, MalformedJwtException
try
final String authorizationHeader = request.getHeader("Authorization");
String username = null;
String jwt = null;
if (authorizationHeader != null && authorizationHeader.startsWith("Bearer "))
jwt = authorizationHeader.substring(7);
username = jwtUtil.extractUsername(jwt);
if (username != null && SecurityContextHolder.getContext().getAuthentication() == null)
UserDetails userDetails = userService.loadUserByUsername(username);
boolean correct = jwtUtil.validateToken(jwt, userDetails);
if (correct)
UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
userDetails, null, userDetails.getAuthorities());
usernamePasswordAuthenticationToken
.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
chain.doFilter(request, response);
catch (ExpiredJwtException ex)
resolver.resolveException(request, response, null, ex);
【问题讨论】:
这可能会有所帮助:请阅读:JWTs_Refresh_tokens 我的前端应用程序中是否需要一个中间件来实现这样的功能? 有几种方法可以做到这一点。你是如何生成“初始”JWT 的? 我在用户登录时生成令牌。我编辑了答案,以便您可以看到我生成令牌的代码。 【参考方案1】:您可以调用API获取刷新令牌,如下所示
POST https://yourdomain.com/oauth/token
Header
"Authorization": "Basic [base64encode(clientId:clientSecret)]"
Parameters
"grant_type": "refresh_token"
"refresh_token": "[yourRefreshToken]"
请注意,
base64encode 是加密客户端授权的方法。您可以在线使用https://www.base64encode.org/ refresh_token 是 grant_type 的字符串值 yourRefreshToken 是与 JWT 访问令牌 一起收到的 刷新令牌结果可以看成
"token_type":"bearer",
"access_token":"eyJ0eXAiOiJK.iLCJpYXQiO.Dww7TC9xu_2s",
"expires_in":20,
"refresh_token":"7fd15938c823cf58e78019bea2af142f9449696a"
祝你好运。
【讨论】:
感谢您的回答。如果我成功实施,我会通知您。 只有在您的项目中包含 Oauth 集成时才有效:spring-security-oauth2
、spring-cloud-starter-oauth2
等不是您的情况,因为考虑到提供的信息和代码,如果您已包含其中任何一个,你都没有真正使用它。
是的,绝对是@AlexandrosKourtis。在我们不使用 Spring Security OAuth2 的情况下,我们可以构建自己的端点进行刷新。例如 /refresh/token 并通过验证刷新令牌对登录执行相同的操作。过程几乎是一样的。干杯。
感谢@QuocTruong 的帮助...最后,我使用刷新和访问令牌做到了,因为我选择的库不支持仅使用访问令牌的方法。这比我想象的要容易得多
刷新请求中的授权标头必须是“基本”而不是“承载”。【参考方案2】:
有两种主要的方法来处理这种情况:
管理访问和刷新令牌
在这种情况下,流程如下:
用户登录应用程序(包括username
和password
)
您的后端应用程序返回任何所需的凭据信息,并且:
2.1 访问 JWT 令牌,过期时间通常为“低”(15、30 分钟等)。
2.2 刷新 JWT 令牌,过期时间大于访问时间。
从现在开始,您的前端应用程序将在每个请求的 Authorization
标头中使用 access token
。
当后端返回401
时,前端应用程序将尝试使用refresh token
(使用特定端点)获取新凭据,而不强制用户再次登录。
Refresh token flow (这只是一个例子,通常只发送刷新令牌)
如果没有问题,那么用户将能够继续使用该应用程序。如果后端返回一个新的401
=> 前端应该重定向到登录页面。
只管理一个 Jwt 令牌
在这种情况下,流程与上一个类似,您可以创建自己的端点来处理这种情况:/auth/token/extend
(例如),包括过期的 Jwt 作为请求的参数。
现在由您来管理:
过期的 Jwt 令牌将“有效”多长时间才能延长它?新端点将具有与上一节中类似的刷新行为,我的意思是,将返回一个新的 Jwt 令牌或401
,因此,从前端的角度来看,流程将是相同的。
一个重要的事情,独立于您要遵循的方法,“新端点”应该从所需的 Spring 身份验证端点中排除,因为您将自己管理安全性:
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter
..
@Override
protected void configure(HttpSecurity http) throws Exception
http.
..
.authorizeRequests()
// List of services do not require authentication
.antMatchers(Rest Operator, "MyEndpointToRefreshOrExtendToken").permitAll()
// Any other request must be authenticated
.anyRequest().authenticated()
..
【讨论】:
What do you mean that I will manage the security by myself?
以与您在login
端点中管理安全性相同的方式,考虑到提供的AuthenticationRequest
对象,您必须对验证提供的@ 的新端点执行相同的操作987654335@:有效吗?过期时间“太旧”了吗?
When you say excluded from required Spring authenticated endpoints, do you mean making it a route that is not protected?
是的,同样的,你已经用你的login
端点做到了。
...I made it so the jwt token lasts for about 7 days... the front end will request a new token be generated... I feel like it is not a very "standard" way...
,不,因为您在前端“硬编码”了应该请求新令牌的时间间隔。我建议您的方法更合适,因为它可以在不考虑用户登录时间的情况下工作。如果适合您的情况,您可以增加 Jwt 令牌的到期时间。
I did that but every time but I could not set a new date for the token because it would throw an exception
,不确定您是如何在项目中配置 Spring 安全性的,但是,如果您在允许的请求中包含“新提议的端点”,您将能够管理提供的 Jwt令牌“是否允许扩展”。在这种情况下,根据您使用的 Jwt 库,可能必须考虑一些不同的用例:例如,当令牌有效但已过期时,我必须管理的异常是什么。
Or, you handle the token before it expires. Is this correct?
=> 使用这种方法,您正在开发一个“ping 端点”,这意味着前端将每“X 天”发送一个真正不需要的请求来“刷新”Jwt 令牌。如果您更喜欢这种方法,好的,这是开发人员的决定。就我个人而言,我更喜欢在必要时只请求“必需的”。以上是关于如何在 Spring Security 中刷新令牌的主要内容,如果未能解决你的问题,请参考以下文章
如何使用 Spring boot keycloak 适配器 + spring security 强制更新 oAuth 令牌(访问令牌 + 刷新令牌)。?
如何使用 Spring Security 5 和 OAuth2 Client 获取刷新令牌并进行 API 调用?
是否可以在 Spring Security 中仅使用刷新令牌请求访问令牌 oauth2?没有基本身份验证?
带有 oidc 的 Spring Security:刷新令牌