溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

Spring Security OAuth2實現(xiàn)登錄互踢的方法

發(fā)布時間:2020-07-29 11:28:39 來源:億速云 閱讀:342 作者:小豬 欄目:編程語言

這篇文章主要講解了Spring Security OAuth2實現(xiàn)登錄互踢的方法,內(nèi)容清晰明了,對此有興趣的小伙伴可以學(xué)習(xí)一下,相信大家閱讀完之后會有幫助。

Spring Security OAuth2實現(xiàn)登錄互踢的方法

背景說明

一個賬號只能一處登錄,類似的業(yè)務(wù)需求在現(xiàn)有后管類系統(tǒng)是非常常見的。 但在原有的 spring security oauth3 令牌方法流程(所謂的登錄)無法滿足類似的需求。

我們先來看 TokenEndpoint 的方法流程

客戶端 帶參訪問 /oauth/token 接口,最后去調(diào)用 TokenGranter

Spring Security OAuth2實現(xiàn)登錄互踢的方法

TokenGranter 根據(jù)不同的授權(quán)類型,獲取用戶認(rèn)證信息 并去調(diào)用TokenServices 生成令牌

Spring Security OAuth2實現(xiàn)登錄互踢的方法

重新 TokenService

重寫發(fā)放邏輯createAccessToken,當(dāng)用戶管理的令牌存在時則刪除重新創(chuàng)建,這樣會導(dǎo)致之前登陸獲取的token 失效,順理成章的被擠掉。

@Transactional
  public OAuth3AccessToken createAccessToken(OAuth3Authentication authentication) throws AuthenticationException {

    OAuth3AccessToken existingAccessToken = tokenStore.getAccessToken(authentication);
    OAuth3RefreshToken refreshToken = null;
    // 重寫此處,當(dāng)用戶關(guān)聯(lián)的token 存在時,刪除原有令牌
    if (existingAccessToken != null) {
      tokenStore.removeAccessToken(existingAccessToken);
    }
    else if (refreshToken instanceof ExpiringOAuth3RefreshToken) {
      ExpiringOAuth3RefreshToken expiring = (ExpiringOAuth3RefreshToken) refreshToken;
      if (System.currentTimeMillis() > expiring.getExpiration().getTime()) {
        refreshToken = createRefreshToken(authentication);
      }
    }

    OAuth3AccessToken accessToken = createAccessToken(authentication, refreshToken);
    tokenStore.storeAccessToken(accessToken, authentication);
    // In case it was modified
    refreshToken = accessToken.getRefreshToken();
    if (refreshToken != null) {
      tokenStore.storeRefreshToken(refreshToken, authentication);
    }
    return accessToken;
  }

重寫 Token key 生成邏輯

如上代碼,我們實現(xiàn)用戶單一終端的唯一性登錄,什么是單一終端 我們可以類比 QQ 登錄 移動端和 PC 端可以同時登錄,但 移動端 和移動端不能同時在線。

如何能夠?qū)崿F(xiàn) 在不同客戶端也能夠唯一性登錄呢?

先來看上文源碼 `OAuth3AccessToken existingAccessToken=tokenStore.getAccessToken(authentication);

是如何根據(jù)用戶信息判斷 token 存在的呢?

public OAuth3AccessToken getAccessToken(OAuth3Authentication authentication) {
    String key = authenticationKeyGenerator.extractKey(authentication);
     // redis 查詢邏輯,根據(jù) key
    return accessToken;
  
}

AuthenticationKeyGenerator key值生成器 默認(rèn)情況下根據(jù) username/clientId/scope 參數(shù)組合生成唯一token

public String extractKey(OAuth3Authentication authentication) {
  Map<String, String> values = new LinkedHashMap<String, String>();
  OAuth3Request authorizationRequest = authentication.getOAuth3Request();
  if (!authentication.isClientOnly()) {
    values.put(USERNAME, authentication.getName());
  }
  values.put(CLIENT_ID, authorizationRequest.getClientId());
  if (authorizationRequest.getScope() != null) {
    values.put(SCOPE, OAuth3Utils.formatParameterList(new TreeSet<String>(authorizationRequest.getScope())));
  }
  return generateKey(values);
}

若想實現(xiàn),多終端的唯一性登錄,只需要使得同一個用戶在多個終端生成的 token 一致,加上上文提到的 createToken 修改邏輯,既去掉extractKey 的 clientId 條件,不區(qū)分終端即可

public String extractKey(OAuth3Authentication authentication) {
  Map<String, String> values = new LinkedHashMap<String, String>();
  OAuth3Request authorizationRequest = authentication.getOAuth3Request();
  if (!authentication.isClientOnly()) {
    values.put(USERNAME, authentication.getName());
  }
  if (authorizationRequest.getScope() != null) {
    values.put(SCOPE, OAuth3Utils.formatParameterList(new TreeSet<String>(authorizationRequest.getScope())));
  }
  return generateKey(values);
}

最后在 authserver 中注入新的 TokenService 即可

看完上述內(nèi)容,是不是對Spring Security OAuth2實現(xiàn)登錄互踢的方法有進一步的了解,如果還想學(xué)習(xí)更多內(nèi)容,歡迎關(guān)注億速云行業(yè)資訊頻道。

向AI問一下細節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI