作者:冷冷gg 链接:
https://juejin.im/post/5eaa1675e51d454d980e35fb
背景说明
一个账号只能一处登录,类似的业务需求在现有后管类系统是非常常见的。 但在原有的 spring security oauth2 令牌方法流程(所谓的登录)无法满足类似的需求。
我们先来看 TokenEndpoint 的方法流程
客户端 带参访问 /oauth/token 接口,最后去调用 TokenGranter
TokenGranter 根据不同的授权类型,获取用户认证信息 并去调用TokenServices 生成令牌
重新 TokenService
- 重写发放逻辑createAccessToken,当用户管理的令牌存在时则删除重新创建,这样会导致之前登陆获取的token 失效,顺理成章的被挤掉。
<code>@Transactional
public
OAuth2AccessToken createAccessToken() {
OAuth2AccessToken
existingAccessToken = tokenStore.getAccessToken(authentication);
OAuth2RefreshToken
refreshToken = null;
重写此处,当用户关联的token 存在时,删除原有令牌
if
(existingAccessToken != null) {
tokenStore.removeAccessToken(existingAccessToken);
}
else
if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
ExpiringOAuth2RefreshToken
expiring = (ExpiringOAuth2RefreshToken) refreshToken;
if
(System.currentTimeMillis() > expiring.getExpiration().getTime()) {
refreshToken
=createRefreshToken(authentication);
}
}
OAuth2AccessToken
accessToken = createAccessToken(authentication, refreshToken);
authentication);
In case it was modified
refreshToken
=accessToken.getRefreshToken();
if
(refreshToken != null) {
authentication);
}
return
accessToken;
}
/<code>
重写 Token key 生成逻辑
- 如上代码,我们实现用户单一终端的唯一性登录,什么是单一终端 我们可以类比 QQ 登录 移动端和 PC 端可以同时登录,但 移动端 和移动端不能同时在线。
- 如何能够实现 在不同客户端也能够唯一性登录呢?
先来看上文源码 OAuth2AccessToken existingAccessToken=tokenStore.getAccessToken(authentication); 是如何根据用户信息判断 token 存在的呢?
<code>public
OAuth2AccessTokengetAccessToken
(OAuth2Authentication authentication)
{ String key = authenticationKeyGenerator.extractKey(authentication);return
accessToken; }/<code>
- AuthenticationKeyGenerator key值生成器 默认情况下根据 username/clientId/scope 参数组合生成唯一token
<code>publicString
extractKey(OAuth2Authentication authentication) {Map
<String
,String
> values =new
LinkedHashMap<String
,String
>(); OAuth2Request authorizationRequest = authentication.getOAuth2Request();if
(!authentication.isClientOnly()) { values.put(USERNAME, authentication.getName()); } values.put(CLIENT_ID, authorizationRequest.getClientId());if
(authorizationRequest.getScope() !=null
) { values.put(SCOPE, OAuth2Utils.formatParameterList(new
TreeSet<String
>(authorizationRequest.getScope()))); }return
generateKey(values); }/<code>
- 若想实现,多终端的唯一性登录,只需要使得同一个用户在多个终端生成的 token 一致,加上上文提到的 createToken 修改逻辑,既去掉extractKey 的 clientId 条件,不区分终端即可
<code>publicString
extractKey(OAuth2Authentication authentication) {Map
<String
,String
> values =new
LinkedHashMap<String
,String
>(); OAuth2Request authorizationRequest = authentication.getOAuth2Request();if
(!authentication.isClientOnly()) { values.put(USERNAME, authentication.getName()); }if
(authorizationRequest.getScope() !=null
) { values.put(SCOPE, OAuth2Utils.formatParameterList(new
TreeSet<String
>(authorizationRequest.getScope()))); }return
generateKey(values); }/<code>
- 最后在 authserver 中注入新的 TokenService 即可
小福利:
整理了几百本各类技术电子书相送 ,嘘~,「免费」 送给小伙伴们,私信或者评论【666】自行领取。和一些小伙伴们建了一个技术交流群,一起探讨技术、分享技术资料,旨在共同学习进步。
關鍵字: 下线 OAuth2AccessToken put