聊聊 OAuth 2.0 的 token expire_in 使用
问题背景
有同窗私信问了这样的问题,访问 pig4cloud 的演示环境 查看登陆请求 network 返回报文以下:git
{
"access_token":"16d35799-9cbb-4c23-966d-ab606029a623",
"token_type":"bearer",
"refresh_token":"495dbde5-1bbb-43c9-b06b-ecac50aa5d53",
"expires_in":41000,
"scope":"server"
}
而本地部署运行的时,登陆请求返回的报文以下:spring
{
"access_token":"c262afbe-441e-4023-afb4-f88c8a0a7d51",
"token_type":"bearer",
"refresh_token":"ea642d50-5cf5-48ad-9ef9-cb57c9dde00a",
"scope":"server"
}
缺乏 expires_in 过时参数,因此客户端没法知悉什么时候执行刷新行为。json
源码剖析
咱们来看下 oauth2 的令牌方法机制,若是客户端 配置的 validitySeconds (令牌有效期) 大于 0 会返回当前令牌的有效时间 expires_in 参数,服务器
OAuth2AccessToken createAccessToken() {
DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(UUID.randomUUID().toString());
int validitySeconds = getAccessTokenValiditySeconds(authentication.getOAuth2Request());
if (validitySeconds > 0) {
token.setExpiration(new Date(System.currentTimeMillis() + (validitySeconds * 1000L)));
}
token.setRefreshToken(refreshToken);
token.setScope(authentication.getOAuth2Request().getScope());
return accessTokenEnhancer != null ? accessTokenEnhancer.enhance(token, authentication) : token;
}
- tokenStore 去存储 令牌的时候,若过时参数为 0 或者 小于 0 Expiration 为空,不会设置有效时间也就意味着为永久有效,因此此时不会客户端响应 expires_in 参数
if (token.getExpiration() != null) {
int seconds = token.getExpiresIn();
conn.expire(accessKey, seconds);
conn.expire(authKey, seconds);
conn.expire(authToAccessKey, seconds);
conn.expire(clientId, seconds);
conn.expire(approvalKey, seconds);
}
永久有效的令牌是否应该返回 expires_in 参数呢?
咱们先来看下oauth2 协议规范app
HTTP/1.1 200 OK
Content-Type: application/json
Cache-Control: no-store
Pragma: no-cache
{
"access_token":"MTQ0NjJkZmQ5OTM2NDE1ZTZjNGZmZjI3",
"token_type":"bearer",
"expires_in":3600,
"refresh_token":"IwOGYzYTlmM2YxOTQ5MGE3YmNmMDFkNTVk",
"scope":"create"
}
- access_token (必需) 受权服务器发出的访问令牌
- token_type (必需)这是令牌的类型,一般只是字符串“bearer”。
- expires_in (推荐)若是访问令牌过时过时时间。
- refresh_token(可选)刷新令牌,在访问令牌过时后,可以使用此令牌刷新。
- scope(可选)若是用户授予的范围与应用程序请求的范围相同,则此参数为可选。
此处 expires_in 推荐返回,不管是有设置有效期限制仍是无有效期限制。因此此处 spring security oauth2 的处理并不符合协议规范 emmm 。dom
项目推荐: Spring Cloud 、Spring Security OAuth2的RBAC权限管理系统 欢迎关注code
相关文章
- 1. 聊聊 OAuth 2.0 的 Token 续期处理
- 2. OAuth 2.0: Bearer Token Usage
- 3. 聊聊 Spring Boot 2.0 的 WebFlux
- 4. .Net Identity OAuth 2.0 SecurityStamp 使用
- 5. drf—— 响聊聊cookie session token的演变
- 6. 聊聊Token那些事儿(第一篇:认识Token)
- 7. 聊聊token bucket算法的实现
- 8. Authing 2.0 发布:聊聊 IDaaS 的将来
- 9. Authing 2.0 发布:聊聊 IDaaS 的未来
- 10. OAuth 2.0
- 更多相关文章...
- • TortoiseSVN 使用教程 - SVN 教程
- • Docker 容器使用 - Docker教程
- • Composer 安装与使用
- • 使用Rxjava计算圆周率
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 聊聊 OAuth 2.0 的 Token 续期处理
- 2. OAuth 2.0: Bearer Token Usage
- 3. 聊聊 Spring Boot 2.0 的 WebFlux
- 4. .Net Identity OAuth 2.0 SecurityStamp 使用
- 5. drf—— 响聊聊cookie session token的演变
- 6. 聊聊Token那些事儿(第一篇:认识Token)
- 7. 聊聊token bucket算法的实现
- 8. Authing 2.0 发布:聊聊 IDaaS 的将来
- 9. Authing 2.0 发布:聊聊 IDaaS 的未来
- 10. OAuth 2.0