如何解决如何在Spring Security中刷新令牌
此行:
Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
当我的jwt令牌过期时,会引发如下错误:
JWT在2020-05-13T07:50:39Z到期。当前时间: 2020-05-16T21:29:41Z。
更具体地说,正是此函数引发了“ ExpiredJwtException”异常:
我该如何处理这些异常?我是否应该抓住它们并将错误消息发送回客户端并强迫他们重新登录?
如何实现刷新令牌功能?我在后端使用Spring和mysql,在前端使用vuejs。
我这样生成初始令牌:
@Override
public JSONObject login(AuthenticationRequest authreq) {
JSONObject json = new JSONObject();
try {
Authentication authentication = authenticationManager.authenticate(
new UsernamePasswordAuthenticationToken(authreq.getUsername(),authreq.getPassword()));
UserDetailsImpl userDetails = (UserDetailsImpl) authentication.getPrincipal();
List<String> roles = userDetails.getAuthorities().stream().map(item -> item.getAuthority())
.collect(Collectors.toList());
if (userDetails != null) {
final String jwt = jwtTokenUtil.generateToken(userDetails);
JwtResponse jwtres = new JwtResponse(jwt,userDetails.getId(),userDetails.getUsername(),userDetails.getEmail(),roles,jwtTokenUtil.extractExpiration(jwt).toString());
return json.put("jwtresponse",jwtres);
}
} catch (BadCredentialsException ex) {
json.put("status","badcredentials");
} catch (LockedException ex) {
json.put("status","LockedException");
} catch (DisabledException ex) {
json.put("status","DisabledException");
}
return json;
}
然后在JwtUtil类中:
public String generateToken(UserDetails userDetails) {
Map<String,Object> claims = new HashMap<>();
return createToken(claims,userDetails.getUsername());
}
private String createToken(Map<String,Object> claims,String subject) {
return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(new Date(System.currentTimeMillis()))
.setExpiration(new Date(System.currentTimeMillis() + EXPIRESIN))
.signWith(SignatureAlgorithm.HS256,SECRET_KEY).compact();
}
有关更多信息,这是我的doFilterInternal函数,用于过滤每个请求:
@Override
protected void doFilterInternal(HttpServletRequest request,HttpServletResponse response,FilterChain chain)
throws ServletException,IOException,ExpiredJwtException,MalformedJwtException {
try {
final String authorizationHeader = request.getHeader("Authorization");
String username = null;
String jwt = null;
if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
jwt = authorizationHeader.substring(7);
username = jwtUtil.extractUsername(jwt);
}
if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
UserDetails userDetails = userService.loadUserByUsername(username);
boolean correct = jwtUtil.validateToken(jwt,userDetails);
if (correct) {
UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
userDetails,null,userDetails.getAuthorities());
usernamePasswordAuthenticationToken
.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
}
}
chain.doFilter(request,response);
} catch (ExpiredJwtException ex) {
resolver.resolveException(request,response,ex);
}
}
解决方法
有两种主要方法可以解决这种情况:
管理访问和刷新令牌
在这种情况下,流程如下:
-
用户登录到应用程序(包括
username
和password
) -
您的后端应用程序返回所有必需的凭据信息,并且:
2.1 访问JWT令牌,其到期时间通常为“低”(15、30分钟等)。
2.2 刷新JWT令牌,其过期时间大于访问时间。
-
从现在开始,您的前端应用程序将针对每个请求在
access token
标头中使用Authorization
。
当后端返回401
时,前端应用程序将尝试使用refresh token
(使用特定端点)来获取新的凭据,而不会强制用户再次登录。
Refresh token flow (这只是一个示例,通常仅发送刷新令牌)
如果没有问题,则用户将能够继续使用该应用程序。如果后端返回新的401
=>前端应重定向到登录页面。
仅管理一个Jwt令牌
在这种情况下,流程类似于上一个流程,您可以创建自己的端点来处理以下情况:/auth/token/extend
(例如),包括过期的Jwt作为请求的参数。
现在由您决定:
- 已过期的Jwt令牌在多长时间内将“有效”扩展?
新端点在上一节中将具有与刷新端点类似的行为,我的意思是,它将返回一个新的Jwt令牌或401
,因此,从前端的角度来看,流程是相同的。
重要事项,与您要采用的方法无关,“新端点”应从所需的经过Spring身份验证的端点中排除,因为您将自己管理安全性:
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
..
@Override
protected void configure(HttpSecurity http) throws Exception {
http.
..
.authorizeRequests()
// List of services do not require authentication
.antMatchers(Rest Operator,"MyEndpointToRefreshOrExtendToken").permitAll()
// Any other request must be authenticated
.anyRequest().authenticated()
..
}
}
,
您可以按如下所示调用API以获取刷新令牌
POST https://yourdomain.com/oauth/token
Header
"Authorization": "Bearer [base64encode(clientId:clientSecret)]"
Parameters
"grant_type": "refresh_token"
"refresh_token": "[yourRefreshToken]"
请注意,
- base64encode 是用于加密客户端授权的方法。您可以通过https://www.base64encode.org/ 在线使用
- refresh_token 是 grant_type 的字符串值
- yourRefreshToken 是通过 JWT访问令牌 接收的刷新令牌。
结果可以看成是
{
"token_type":"bearer","access_token":"eyJ0eXAiOiJK.iLCJpYXQiO.Dww7TC9xu_2s","expires_in":20,"refresh_token":"7fd15938c823cf58e78019bea2af142f9449696a"
}
祝你好运。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。