使用 Spring Oauth2 缓存访问令牌

Posted

技术标签:

【中文标题】使用 Spring Oauth2 缓存访问令牌【英文标题】:Cache acces token using Spring Oauth2 【发布时间】:2018-05-06 02:06:11 【问题描述】:

我已经在 java spring 框架中实现了 REST Web 服务。我的应用程序需要获取访问令牌才能发出其他 URL 请求。我想缓存令牌,以便我可以重复使用它直到它过期。目前,我正在使用一个字段来存储令牌,但是否有另一种使用 spring-security 类的方法?

这就是我获取 accessToken 的方式:

@Bean
private OAuth2ProtectedResourceDetails oAuth2ProtectedResourceDetails() 
    ClientCredentialsResourceDetails details = new 
    ClientCredentialsResourceDetails();
    details.setClientId(clientId);
    details.setClientSecret(clientSecret);
    accessTokenUrl = BackEndUrl + "/oauth2/token";
    details.setAccessTokenUri(accessTokenUrl);
    return details;


@Bean
private OAuth2RestTemplate createRestTemplate(OAuth2ClientContext clientContext) 
    return new OAuth2RestTemplate(oAuth2ProtectedResourceDetails(), clientContext);


@Override
public ResponseEntity<String> service() 

    // Token recovery if no token has been created or if the token expiration time is exceeded
    if (this.strToken == null || this.tokenLimitTime.isBeforeNow()) 
        OAuth2ClientContext context = new DefaultOAuth2ClientContext();

        OAuth2RestTemplate restTemplate = createRestTemplate(context);

        OAuth2AccessToken token = restTemplate.getAccessToken();

        if (token != null) 
            this.strToken = token.getValue();
            this.tokenLimitTime = DateTime.now().plusSeconds(token.getExpiresIn());
        
    

【问题讨论】:

【参考方案1】:

这取决于您使用的令牌存储。例如,如果您使用InMemoryTokenStoreJDBCTOkenStore,则提供API 以使用用户名或客户端ID(即public Collection&lt;OAuth2AccessToken&gt; findTokensByClientIdAndUserName(String clientId, String userName)public Collection&lt;OAuth2AccessToken&gt; findTokensByClientId(String clientId))访问令牌。

如果您使用 JwtTokenStore,则有 ApprovalStore 机制。

【讨论】:

这些存储似乎用于受 OAuth 保护的服务器,用于跟踪已分发的令牌。我认为最初的问题是关于如何在客户端缓存令牌。

以上是关于使用 Spring Oauth2 缓存访问令牌的主要内容,如果未能解决你的问题,请参考以下文章

spring oauth2 令牌缓存

Spring OAuth2 - 创建访问令牌

Spring以编程方式生成oauth2访问令牌

是否可以在 Spring Security 中仅使用刷新令牌请求访问令牌 oauth2?没有基本身份验证?

为啥缓存访问令牌在 oauth2 中被认为是不好的?

Spring Oauth2无效的访问令牌