我有一个移动应用程序,它使用我的Spring Boot 后端进行身份验证和访问数据等操作。Spring Boot 应用程序的一部分使用 OAuth2 从资源服务器访问数据。我偶然发现了一个用于 Spring 的oauth2 客户端库,它发挥了魔力,一切都开箱即用。
当我试图弄清楚这个库是如何工作的时,我似乎无法找到它处理刷新令牌的方式的答案。我知道 oauth2client 绑定到每个用户的会话,但是当会话结束时会发生什么?访问和刷新令牌不会丢失吗?
我一直在寻找方法来为我的数据库中的每个用户保留刷新令牌,但我在库中没有找到任何支持。这让我想知道我是否必须自己实现这个,或者是否有必要这样做。
任何建议表示赞赏!
基本上 OAuth2 架构用于第 3 方身份验证和授权。在这种机制中,凭证保持安全,并且在一切都在令牌上工作时不会传递!但是您也可以使用它来隐式地为您自己的身份验证工作。
在您的情况下,首先当您点击“ /oauth/token ”(默认端点)以及客户端秘密和客户端 ID 以及其余用户凭据时,算法会检查数据库中的用户详细信息并匹配存在的秘密和 ID在请求的标头中。如果一切顺利,它将生成一个承载类型 - 访问和刷新令牌,并将这些令牌存储在数据库的不同集合中。此特定用户映射到这些令牌,并且只能使用它们访问 /api。不需要用户凭据. 如果您使用 MongoDb 存储和访问存储的令牌,则可以使用 MongoTokenStore。
接下来,您必须配置 WebSecurity/AuthorizationServer/ResourceServer 以检查端点和标头令牌令牌、用户的身份验证和授权,并分别提供对资源的有效令牌访问。
最后,当您拥有有效的访问令牌并使用正确的标头请求访问 api 时,服务器会授予您访问资源的权限!
通常访问令牌的生命周期较短,而刷新令牌的生命周期相对较长。访问令牌过期后,可以使用刷新令牌生成新的访问令牌。如果刷新令牌过期,那么您必须再次点击“ /oauth/token ”api,完成流程循环并再次生成令牌。过期后,当您点击具有现有访问令牌的 api 时,它们将从集合中删除。这是该机制的默认架构,其余您可以根据需要制作自定义类并修改其功能!这种架构非常安全,是一个很好的实践。
检查来自digitalocean的这篇文章。
编辑----
