zoukankan      html  css  js  c++  java
  • Spring Security OAuth2 实现登录互踢

    背景说明

    一个账号只能一处登录,类似的业务需求在现有后管类系统是非常常见的。 但在原有的 spring security oauth2 令牌方法流程(所谓的登录)无法满足类似的需求。

    我们先来看 TokenEndpoint 的方法流程

    客户端 带参访问 /oauth/token 接口,最后去调用 TokenGranter

    TokenGranter 根据不同的授权类型,获取用户认证信息 并去调用TokenServices 生成令牌

    重新 TokenService

    • 重写发放逻辑createAccessToken,当用户管理的令牌存在时则删除重新创建,这样会导致之前登陆获取的token 失效,顺理成章的被挤掉。
    	@Transactional
    	public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {
    
    		OAuth2AccessToken existingAccessToken = tokenStore.getAccessToken(authentication);
    		OAuth2RefreshToken refreshToken = null;
    		// 重写此处,当用户关联的token 存在时,删除原有令牌
    		if (existingAccessToken != null) {
    			tokenStore.removeAccessToken(existingAccessToken);
    		}
    		else if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
    			ExpiringOAuth2RefreshToken expiring = (ExpiringOAuth2RefreshToken) refreshToken;
    			if (System.currentTimeMillis() > expiring.getExpiration().getTime()) {
    				refreshToken = createRefreshToken(authentication);
    			}
    		}
    
    		OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);
    		tokenStore.storeAccessToken(accessToken, authentication);
    		// In case it was modified
    		refreshToken = accessToken.getRefreshToken();
    		if (refreshToken != null) {
    			tokenStore.storeRefreshToken(refreshToken, authentication);
    		}
    		return accessToken;
    	}
    

    重写 Token key 生成逻辑

    • 如上代码,我们实现用户单一终端的唯一性登录,什么是单一终端 我们可以类比 QQ 登录 移动端和 PC 端可以同时登录,但 移动端 和移动端不能同时在线。
    • 如何能够实现 在不同客户端也能够唯一性登录呢?

    先来看上文源码 OAuth2AccessToken existingAccessToken=tokenStore.getAccessToken(authentication);
    是如何根据用户信息判断 token 存在的呢?

    public OAuth2AccessToken getAccessToken(OAuth2Authentication authentication) {
    		String key = authenticationKeyGenerator.extractKey(authentication);
    		  // redis 查询逻辑,根据 key
    		return accessToken;
        
    }
    
    • AuthenticationKeyGenerator key值生成器 默认情况下根据 username/clientId/scope 参数组合生成唯一token
    public String extractKey(OAuth2Authentication authentication) {
    	Map<String, String> values = new LinkedHashMap<String, String>();
    	OAuth2Request authorizationRequest = authentication.getOAuth2Request();
    	if (!authentication.isClientOnly()) {
    		values.put(USERNAME, authentication.getName());
    	}
    	values.put(CLIENT_ID, authorizationRequest.getClientId());
    	if (authorizationRequest.getScope() != null) {
    		values.put(SCOPE, OAuth2Utils.formatParameterList(new TreeSet<String>(authorizationRequest.getScope())));
    	}
    	return generateKey(values);
    }
    
    • 若想实现,多终端的唯一性登录,只需要使得同一个用户在多个终端生成的 token 一致,加上上文提到的 createToken 修改逻辑,既去掉extractKey 的 clientId 条件,不区分终端即可
    public String extractKey(OAuth2Authentication authentication) {
    	Map<String, String> values = new LinkedHashMap<String, String>();
    	OAuth2Request authorizationRequest = authentication.getOAuth2Request();
    	if (!authentication.isClientOnly()) {
    		values.put(USERNAME, authentication.getName());
    	}
    	if (authorizationRequest.getScope() != null) {
    		values.put(SCOPE, OAuth2Utils.formatParameterList(new TreeSet<String>(authorizationRequest.getScope())));
    	}
    	return generateKey(values);
    }
    
    • 最后在 authserver 中注入新的 TokenService 即可

    项目推荐: Spring Cloud 、Spring Security OAuth2的RBAC权限管理系统 欢迎关注

  • 相关阅读:
    使用jQuery简单实现产品展示的图片左右滚动功能
    分布式缓存 memcache学习
    js打印html中的内容
    lucene 搜索引擎使用案例
    jQuery 知识点积累
    Oracle 11g 卸载
    #region 自适应屏幕分辨率
    C#泛类型链表的实现
    C#可以获取Excel文件中Sheet的名字
    关于 List<T>
  • 原文地址:https://www.cnblogs.com/leng-leng/p/13064871.html
Copyright © 2011-2022 走看看