如何在 Spring 安全性中刷新令牌
How can I refresh tokens in Spring security
这一行:
Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
当我的 jwt 令牌过期时抛出这样的错误:
JWT expired at 2020-05-13T07:50:39Z. Current time:
2020-05-16T21:29:41Z.
更具体地说,正是这个函数引发了“ExpiredJwtException”异常:
我该如何处理这些异常?我应该抓住他们并向客户端发送错误消息并强制他们重新登录吗?
如何实现刷新令牌功能?我在后端使用 Spring 和 mysql,在前端使用 vuejs。
我这样生成初始令牌:
@Override
public JSONObject login(AuthenticationRequest authreq) {
JSONObject json = new JSONObject();
try {
Authentication authentication = authenticationManager.authenticate(
new UsernamePasswordAuthenticationToken(authreq.getUsername(), authreq.getPassword()));
UserDetailsImpl userDetails = (UserDetailsImpl) authentication.getPrincipal();
List<String> roles = userDetails.getAuthorities().stream().map(item -> item.getAuthority())
.collect(Collectors.toList());
if (userDetails != null) {
final String jwt = jwtTokenUtil.generateToken(userDetails);
JwtResponse jwtres = new JwtResponse(jwt, userDetails.getId(), userDetails.getUsername(),
userDetails.getEmail(), roles, jwtTokenUtil.extractExpiration(jwt).toString());
return json.put("jwtresponse", jwtres);
}
} catch (BadCredentialsException ex) {
json.put("status", "badcredentials");
} catch (LockedException ex) {
json.put("status", "LockedException");
} catch (DisabledException ex) {
json.put("status", "DisabledException");
}
return json;
}
然后在 JwtUtil class:
public String generateToken(UserDetails userDetails) {
Map<String, Object> claims = new HashMap<>();
return createToken(claims, userDetails.getUsername());
}
private String createToken(Map<String, Object> claims, String subject) {
return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(new Date(System.currentTimeMillis()))
.setExpiration(new Date(System.currentTimeMillis() + EXPIRESIN))
.signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();
}
有关详细信息,这是我过滤每个请求的 doFilterInternal 函数:
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
throws ServletException, IOException, ExpiredJwtException, MalformedJwtException {
try {
final String authorizationHeader = request.getHeader("Authorization");
String username = null;
String jwt = null;
if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
jwt = authorizationHeader.substring(7);
username = jwtUtil.extractUsername(jwt);
}
if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
UserDetails userDetails = userService.loadUserByUsername(username);
boolean correct = jwtUtil.validateToken(jwt, userDetails);
if (correct) {
UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
userDetails, null, userDetails.getAuthorities());
usernamePasswordAuthenticationToken
.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
}
}
chain.doFilter(request, response);
} catch (ExpiredJwtException ex) {
resolver.resolveException(request, response, null, ex);
}
}
处理此类情况的主要方法有两种:
管理访问和刷新令牌
在这种情况下,流程如下:
用户登录应用程序(包括username和password)
您的后端应用程序 return 任何必需的凭据信息和:
2.1 访问 JWT 令牌,过期时间通常“低”(15、30 分钟等)。
2.2 刷新 JWT 令牌,过期时间大于访问时间。
从现在开始,您的前端应用程序将在 Authorization header 中为每个请求使用 access token。
当后端 returns 401 时,前端应用程序将尝试使用 refresh token(使用特定端点)获取新凭据,而不强制用户再次登录。
Refresh token flow
(这只是一个例子,通常只发送刷新令牌)
如果没有问题,那么用户将可以继续使用该应用程序。如果后端 return 是一个新的 401 => 前端应该重定向到登录页面。
只管理一个 Jwt 令牌
在这种情况下,流程与上一个类似,您可以创建自己的端点来处理此类情况:/auth/token/extend(例如),包括过期的 Jwt 作为请求的参数。
现在由您来管理:
- 过期的 Jwt 令牌“有效”延长多长时间?
新端点将具有与上一节中的刷新类似的行为,我的意思是,将 return 一个新的 Jwt 令牌或 401 所以,从前端的角度来看流程将相同。
一个重要的事情,无论您要遵循的方法如何,“新端点”都应该从所需的 Spring 已验证端点中排除,因为您将自行管理安全性:
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
..
@Override
protected void configure(HttpSecurity http) throws Exception {
http.
..
.authorizeRequests()
// List of services do not require authentication
.antMatchers(Rest Operator, "MyEndpointToRefreshOrExtendToken").permitAll()
// Any other request must be authenticated
.anyRequest().authenticated()
..
}
}
您可以调用 API 获取刷新令牌,如下所示
POST https://yourdomain.com/oauth/token
Header
"Authorization": "Basic [base64encode(clientId:clientSecret)]"
Parameters
"grant_type": "refresh_token"
"refresh_token": "[yourRefreshToken]"
请注意,
- base64encode是加密客户端授权的方法。您可以在 https://www.base64encode.org/
在线使用
- refresh_token是grant_type
的字符串值
- yourRefreshToken 是通过 JWT 访问令牌
收到的 刷新令牌
结果可以看成
{
"token_type":"bearer",
"access_token":"eyJ0eXAiOiJK.iLCJpYXQiO.Dww7TC9xu_2s",
"expires_in":20,
"refresh_token":"7fd15938c823cf58e78019bea2af142f9449696a"
}
祝你好运。
这一行:
Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
当我的 jwt 令牌过期时抛出这样的错误:
JWT expired at 2020-05-13T07:50:39Z. Current time: 2020-05-16T21:29:41Z.
更具体地说,正是这个函数引发了“ExpiredJwtException”异常:
我该如何处理这些异常?我应该抓住他们并向客户端发送错误消息并强制他们重新登录吗?
如何实现刷新令牌功能?我在后端使用 Spring 和 mysql,在前端使用 vuejs。
我这样生成初始令牌:
@Override
public JSONObject login(AuthenticationRequest authreq) {
JSONObject json = new JSONObject();
try {
Authentication authentication = authenticationManager.authenticate(
new UsernamePasswordAuthenticationToken(authreq.getUsername(), authreq.getPassword()));
UserDetailsImpl userDetails = (UserDetailsImpl) authentication.getPrincipal();
List<String> roles = userDetails.getAuthorities().stream().map(item -> item.getAuthority())
.collect(Collectors.toList());
if (userDetails != null) {
final String jwt = jwtTokenUtil.generateToken(userDetails);
JwtResponse jwtres = new JwtResponse(jwt, userDetails.getId(), userDetails.getUsername(),
userDetails.getEmail(), roles, jwtTokenUtil.extractExpiration(jwt).toString());
return json.put("jwtresponse", jwtres);
}
} catch (BadCredentialsException ex) {
json.put("status", "badcredentials");
} catch (LockedException ex) {
json.put("status", "LockedException");
} catch (DisabledException ex) {
json.put("status", "DisabledException");
}
return json;
}
然后在 JwtUtil class:
public String generateToken(UserDetails userDetails) {
Map<String, Object> claims = new HashMap<>();
return createToken(claims, userDetails.getUsername());
}
private String createToken(Map<String, Object> claims, String subject) {
return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(new Date(System.currentTimeMillis()))
.setExpiration(new Date(System.currentTimeMillis() + EXPIRESIN))
.signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();
}
有关详细信息,这是我过滤每个请求的 doFilterInternal 函数:
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
throws ServletException, IOException, ExpiredJwtException, MalformedJwtException {
try {
final String authorizationHeader = request.getHeader("Authorization");
String username = null;
String jwt = null;
if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
jwt = authorizationHeader.substring(7);
username = jwtUtil.extractUsername(jwt);
}
if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
UserDetails userDetails = userService.loadUserByUsername(username);
boolean correct = jwtUtil.validateToken(jwt, userDetails);
if (correct) {
UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
userDetails, null, userDetails.getAuthorities());
usernamePasswordAuthenticationToken
.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
}
}
chain.doFilter(request, response);
} catch (ExpiredJwtException ex) {
resolver.resolveException(request, response, null, ex);
}
}
处理此类情况的主要方法有两种:
管理访问和刷新令牌
在这种情况下,流程如下:
用户登录应用程序(包括
username和password)您的后端应用程序 return 任何必需的凭据信息和:
2.1 访问 JWT 令牌,过期时间通常“低”(15、30 分钟等)。
2.2 刷新 JWT 令牌,过期时间大于访问时间。
从现在开始,您的前端应用程序将在
Authorizationheader 中为每个请求使用access token。
当后端 returns 401 时,前端应用程序将尝试使用 refresh token(使用特定端点)获取新凭据,而不强制用户再次登录。
Refresh token flow (这只是一个例子,通常只发送刷新令牌)
如果没有问题,那么用户将可以继续使用该应用程序。如果后端 return 是一个新的 401 => 前端应该重定向到登录页面。
只管理一个 Jwt 令牌
在这种情况下,流程与上一个类似,您可以创建自己的端点来处理此类情况:/auth/token/extend(例如),包括过期的 Jwt 作为请求的参数。
现在由您来管理:
- 过期的 Jwt 令牌“有效”延长多长时间?
新端点将具有与上一节中的刷新类似的行为,我的意思是,将 return 一个新的 Jwt 令牌或 401 所以,从前端的角度来看流程将相同。
一个重要的事情,无论您要遵循的方法如何,“新端点”都应该从所需的 Spring 已验证端点中排除,因为您将自行管理安全性:
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
..
@Override
protected void configure(HttpSecurity http) throws Exception {
http.
..
.authorizeRequests()
// List of services do not require authentication
.antMatchers(Rest Operator, "MyEndpointToRefreshOrExtendToken").permitAll()
// Any other request must be authenticated
.anyRequest().authenticated()
..
}
}
您可以调用 API 获取刷新令牌,如下所示
POST https://yourdomain.com/oauth/token
Header
"Authorization": "Basic [base64encode(clientId:clientSecret)]"
Parameters
"grant_type": "refresh_token"
"refresh_token": "[yourRefreshToken]"
请注意,
- base64encode是加密客户端授权的方法。您可以在 https://www.base64encode.org/ 在线使用
- refresh_token是grant_type 的字符串值
- yourRefreshToken 是通过 JWT 访问令牌 收到的 刷新令牌
结果可以看成
{
"token_type":"bearer",
"access_token":"eyJ0eXAiOiJK.iLCJpYXQiO.Dww7TC9xu_2s",
"expires_in":20,
"refresh_token":"7fd15938c823cf58e78019bea2af142f9449696a"
}
祝你好运。