Java Spring Security Oauth2:处理过期AccessToken的流程
我只是一个春季安全Oauth2的初学者。 我尝试将授权服务器和资源服务器(分离并连接到JDBC)连接起来,目的是实现单点登录。 My flow成功从授权服务器获取accesstoken和refreshtoken。我的accesstoken总是用作访问资源服务器的参数,这是一个返回响应Java Spring Security Oauth2:处理过期AccessToken的流程,java,spring,spring-security,spring-security-oauth2,Java,Spring,Spring Security,Spring Security Oauth2,我只是一个春季安全Oauth2的初学者。 我尝试将授权服务器和资源服务器(分离并连接到JDBC)连接起来,目的是实现单点登录。 My flow成功从授权服务器获取accesstoken和refreshtoken。我的accesstoken总是用作访问资源服务器的参数,这是一个返回响应 for example http://127.0.0.1:8080/Resource/res/staff?access_token=xxxxxxxxxxxxxxxxxxxxx 我的问题是,如果accesstoke
for example http://127.0.0.1:8080/Resource/res/staff?access_token=xxxxxxxxxxxxxxxxxxxxx
@Configuration
public class Oauth2AuthorizationServer {
@Configuration
@EnableAuthorizationServer
protected static class AuthorizationServerConfiguration extends
AuthorizationServerConfigurerAdapter {
@Autowired
@Qualifier("authenticationManagerBean")
private AuthenticationManager authenticationManager;
@Autowired
DataSource dataSource;
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints)
throws Exception {
endpoints
.tokenStore(new JdbcTokenStore(dataSource))
.authenticationManager(authenticationManager);
}
@Override
public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
oauthServer.tokenKeyAccess("isAnonymous() || permitAll()").checkTokenAccess("permitAll()");
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients
.jdbc(dataSource);
}
}
}
curl -X POST -vu clientauthcode:123456 http://localhost:10000/auth-server/oauth/token -d "client_id=clientauthcode&grant_type=refresh_token&refresh_token=436761f1-2f26-412b-ab0f-bbf2cd7459c4"
http://localhost:10001/resource-server/api/state/new?code=8OppiR
curl -X POST -vu clientauthcode:123456 http://localhost:10000/auth-server/oauth/token -H "Accept: application/json" -d "grant_type=authorization_code&code=iMAtdP&redirect_uri=http://localhost:10001/resource-server/api/state/new"
{
"access_token":"08664d93-41e3-473c-b5d2-f2b30afe7053",
"token_type":"bearer",
"refresh_token":"436761f1-2f26-412b-ab0f-bbf2cd7459c4",
"expires_in":43199,
"scope":"write read"
}
http://localhost:10001/resource-server/api/state/new?code=8OppiR
curl -X POST -vu clientauthcode:123456 http://localhost:10000/auth-server/oauth/token -H "Accept: application/json" -d "grant_type=authorization_code&code=iMAtdP&redirect_uri=http://localhost:10001/resource-server/api/state/new"
{
"access_token":"08664d93-41e3-473c-b5d2-f2b30afe7053",
"token_type":"bearer",
"refresh_token":"436761f1-2f26-412b-ab0f-bbf2cd7459c4",
"expires_in":43199,
"scope":"write read"
}
http://localhost:10001/resource-server/api/state/new?code=8OppiR
curl -X POST -vu clientauthcode:123456 http://localhost:10000/auth-server/oauth/token -H "Accept: application/json" -d "grant_type=authorization_code&code=iMAtdP&redirect_uri=http://localhost:10001/resource-server/api/state/new"
{
"access_token":"08664d93-41e3-473c-b5d2-f2b30afe7053",
"token_type":"bearer",
"refresh_token":"436761f1-2f26-412b-ab0f-bbf2cd7459c4",
"expires_in":43199,
"scope":"write read"
}
curl http://localhost:10001/resource-server/api/admin?access_token=08664d93-41e3-473c-b5d2-f2b30afe7053
curl -X POST -vu clientauthcode:123456 http://localhost:10000/auth-server/oauth/token -d "client_id=clientauthcode&grant_type=refresh_token&refresh_token=436761f1-2f26-412b-ab0f-bbf2cd7459c4"
顺便说一句,对于SSO,您通常不需要资源服务器。但这是另一个问题。没问题。很乐意帮忙。如果我的回答有帮助,请接受它,这样其他人就会知道它可能会帮助他们。对不起,我也是Oauth2的初学者。在Ouath2规范中说“授权服务器可能会发出一个新的刷新令牌”,SpringSecurityOAuth2如何给出这个问题?我可以请求使用refreshtoken获取新的accesstoken,但我只知道accesstoken在用于访问某些资源时过期。仅供参考,我的SSO将授权和资源服务器分开,因为在此之前,我有几个资源服务器,因此我认为我可以将授权服务器与我的资源分开。如果启用它们,Spring Auth Server会发出刷新令牌(我忘了,这可能不是默认设置)。当一个访问令牌被发出时,客户机知道它大约什么时候会过期,所以它可以使用该信息或者只是等待401。我只是启用刷新令牌。我想等待401,然后我可以调用该过程来使用刷新令牌请求新的访问令牌。但我不知道如何制作401处理程序?如果您使用
OAuth2RestTemplatepermitAll()isAuthenticated()