个人感觉啊
Spring Security OAuth2
功能很强大、但是如果要做改动的话就需要好好研究研究了、
OAuth2
有好几种授权模式里、我最常用的也就是
password
模式、
授权码
模式略微复杂、没咋研究过、而且感觉这个框架只使用网站的时候使用授权码方式对第三方系统进行授权是最简单的、要不感觉就需要深入研究了、最主要的还是根据需求来做决定、一般用户这块无非就是以下几种关系
- 同一用户(任何端)可无限制在线
- 同一用户只可同时在线一个或多个
- 同一用户不同端同时可在线一个或多个(例如:app、网站等等)
在
OAuth2
中有一个很重要的接口就是
TokenStore
接口、该接口就是为了生成token的、当然也可以保存token、移除token等等、其内有很多方法、有兴趣可以去看一看、而
RedisTokenStore
和
JwtTokenStore
就是该接口的实现类
其中还有个重要的接口
AuthorizationServerTokenServices
、该接口默认实现类是
DefaultTokenServices
、该类在用户进行授权的时候会执行
createAccessToken
方法
@Transactional
public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {
//调用tokenStore的getAccessToken方法、在使用Jwt时、JwtTokenStore的该方法返回为null
//RedisTokenStore的话会去查询当前是否存在该用户的Token、如果不存在则返回null
OAuth2AccessToken existingAccessToken = this.tokenStore.getAccessToken(authentication);
OAuth2RefreshToken refreshToken = null;
if (existingAccessToken != null) {
//以下这个if块中的代码就是为啥在使用Redis的时候、如果token未过期不会再次生成的原因
if (!existingAccessToken.isExpired()) {
this.tokenStore.storeAccessToken(existingAccessToken, authentication);
return existingAccessToken;
}
//如果上面那句没被return、这里看看刷新token是否为null、不为null的话就把刷新token移除
if (existingAccessToken.getRefreshToken() != null) {
refreshToken = existingAccessToken.getRefreshToken();
this.tokenStore.removeRefreshToken(refreshToken);
}
//移除token
this.tokenStore.removeAccessToken(existingAccessToken);
}
if (refreshToken == null) {//这个是获取刷新token的代码
refreshToken = this.createRefreshToken(authentication);
} else if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
ExpiringOAuth2RefreshToken expiring = (ExpiringOAuth2RefreshToken)refreshToken;
if (System.currentTimeMillis() > expiring.getExpiration().getTime()) {
refreshToken = this.createRefreshToken(authentication);
}
}
//这里是生成existingAccessToken 为空或者最上面那个if块并没有被return的时候执行的
//创建token代码、这里需要说一下、createAccessToken在Jwt的时候需要额外关注一下、在下面介绍该方法
OAuth2AccessToken accessToken = this.createAccessToken(authentication, refreshToken);
this.tokenStore.storeAccessToken(accessToken, authentication);//储存token
refreshToken = accessToken.getRefreshToken();
if (refreshToken != null) {
this.tokenStore.storeRefreshToken(refreshToken, authentication);//储存刷新token的
}
return accessToken;
}
接下来解析
DefaultTokenServices
的
createAccessToken(OAuth2Authentication, OAuth2RefreshToken)
方法、该方法在使用Jwt生成token时很重要、最重要的在最后一行、大白话就是如果
accessTokenEnhancer
不为null那么就调用
accessTokenEnhancer
来生成token否者就返回当前
DefaultOAuth2AccessToken
类生成的token
private OAuth2AccessToken createAccessToken(OAuth2Authentication authentication, OAuth2RefreshToken refreshToken) {
DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(UUID.randomUUID().toString());
int validitySeconds = this.getAccessTokenValiditySeconds(authentication.getOAuth2Request());
if (validitySeconds > 0) {
token.setExpiration(new Date(System.currentTimeMillis() + (long)validitySeconds * 1000L));
}
token.setRefreshToken(refreshToken);
token.setScope(authentication.getOAuth2Request().getScope());
//TokenEnhancer接口
return (OAuth2AccessToken)(this.accessTokenEnhancer != null ? this.accessTokenEnhancer.enhance(token, authentication) : token);
}
而
JwtTokenStore
类需要一个
JwtAccessTokenConverter
类来作为构造函数的参数、主要用于解析和验证Jwt生成的token的、
DefaultTokenServices
类也需要、所以这里就需要分别配置
TokenStore
和
TokenEnhancer
、两个必须都配置
总结来说
RedisTokenStore
只要该token不过期、永远使用的都是一个token、不知道有没有别的方法可以不这样、我找了好多都没找到、而
JwtTokenStore
则是每次都生成不同的token、感觉可以使用
RedisTokenStore
来储存token、然后自定义
TokenEnhancer
来生成token、我也没试过不知道能不能行
![一、Spring Security入门[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)