使用Spring OAuth将来自OAuth2服务器的令牌存储在cookie中

Spring OAuth是一个基于Spring框架的开源项目，用于实现OAuth2协议的认证和授权功能。它提供了一套简单易用的API，可以帮助开发者快速集成OAuth2认证和授权功能到他们的应用程序中。

在使用Spring OAuth将来自OAuth2服务器的令牌存储在cookie中时，可以按照以下步骤进行操作：

配置Spring OAuth客户端：在应用程序的配置文件中，配置Spring OAuth客户端以连接到OAuth2服务器。这包括指定OAuth2服务器的授权URL、令牌URL、客户端ID和客户端密钥等信息。
获取访问令牌：当用户通过OAuth2服务器进行身份验证后，应用程序将向OAuth2服务器发送请求以获取访问令牌。这可以通过调用Spring OAuth提供的API来完成。
存储令牌到cookie：一旦应用程序获得了访问令牌，可以将其存储在cookie中。可以使用Spring提供的Cookie API来创建和设置cookie，将令牌值存储在cookie中。
从cookie中读取令牌：当用户发送请求到应用程序时，应用程序可以从请求中读取cookie，并从中提取存储的令牌值。可以使用Spring提供的Cookie API来读取cookie。
使用令牌进行授权：应用程序可以使用从cookie中读取的令牌值来进行授权操作。可以将令牌值传递给需要进行授权的API或服务，并在每个请求中包含令牌。

使用Spring OAuth将令牌存储在cookie中的优势是：

简化了令牌管理：将令牌存储在cookie中可以减少对服务器端存储和管理令牌的需求，简化了令牌的管理过程。
提高性能：由于令牌存储在cookie中，每次请求都会自动携带令牌，无需额外的网络请求来获取令牌，从而提高了应用程序的性能。
增强安全性：使用cookie存储令牌可以增加令牌的安全性，因为cookie可以设置为仅在HTTPS连接下传输，从而减少了令牌被窃取或篡改的风险。

Spring OAuth的应用场景包括但不限于：

第三方登录：通过与OAuth2服务器集成，应用程序可以实现用户使用第三方账号（如微信、QQ、微博等）进行登录。
授权访问：应用程序可以使用OAuth2服务器颁发的访问令牌来访问受保护的API或服务，实现授权访问的功能。

腾讯云提供了一系列与OAuth2相关的产品和服务，例如腾讯云API网关、腾讯云身份认证服务等，可以帮助开发者快速构建安全可靠的OAuth2认证和授权系统。具体产品和服务的介绍和文档可以在腾讯云官方网站上找到。

请注意，本回答仅提供了一种实现方式，并不代表唯一正确的答案。在实际应用中，还需根据具体需求和场景进行适当调整和配置。

Springboot + JWT +OAuth2 + AngularJS无状态会话

angularjs、spring-boot、oauth-2.0、jwt

AngularJS在响应头中识别JWT令牌，并将其存储在localStorage中。注意:在服务

浏览 0提问于2019-12-19得票数 2

1回答

Spring会话/OAuth2多租户应用程序/多个cookie

spring、spring-boot、session、cookies、oauth-2.0

我使用Session和OAuth2为多租户应用程序构建了一个SSO，并拥有一个具有不同前端客户端和后端服务器的应用程序。(我使用了本教程)。因此，现在的问题是，每个客户端(租户)运行在与后端服务器不同的域上，因此后端服务器只有一个cookie，用户不能同时在两个不同的租户上登录。(每个租户都有不同的无记名代币，所以只有cookie才是问题所在)

浏览 0提问于2019-01-17得票数 0

1回答

使用授权代码授予而不使用cookie？

angular、oauth-2.0、jwt、spring-security-oauth2、openid-connect

在不使用服务器端会话和cookie的情况下使用，因为这个OAuth流比隐式流更安全。将JWT / OpenID连接令牌返回到客户端，以便客户端可以使用它来发出API请求并在客户

浏览 1提问于2017-10-06得票数 5

回答已采纳

1回答

使用授权代码授予而不使用cookie？

oauth、jwt、openid-connect、oauth2

我已经读了好几个月了，看起来整件事都可以集中在我下面总结的内容上。我正试图达到最理想的境界：OpenID连接JWT在不使用服务器端会话和cookie的情况下使用授权代码授予，因为这个OAuth流比隐式流更安全。将JWT /

浏览 0提问于2017-10-07得票数 11

回答已采纳

2回答

每个令牌的Spring* OAuth2访问令牌过期时间更新*

java、spring、spring-boot、spring-security、oauth-2.0

我有一个授权服务器和多个使用OAuth2的资源服务器。所有这些都是使用Spring Security OAuth2实现的。我也有前端客户端，它使用授权代码流生成令牌。我的情况是，如果刷新令牌的有效性是2小时，而访问令牌的有效性是1小时。首先，获取令牌没有问题(这两个令牌都是新

浏览 44提问于2021-03-07得票数 1

2回答

从OAuth2设备中窃取IoT令牌

oauth

在深入研究不同形式的会话身份验证和持久性时，我开始质疑令牌是如何存储的，以及令牌是否会受到损害。我所设想的情况如下：一个用户将他们的智能手机同步到一个社交媒体帐户，并授予了一个OAuth2令牌。从现在起，此令牌的过期时间为三天。用户要么没有锁定他们的手机，要么你就可以短暂地破坏它，并访问设备上存储的任何东西(想想看，新

浏览 0提问于2015-07-29得票数 3

1回答

spring oauth2令牌缓存

spring-security、oauth-2.0

我使用spring oauth2来生成持有者令牌并验证它们。我将令牌存储在数据库中。我想知道spring oauth2是否提供了缓存令牌的工具，因为当服务器命中100tps时，到db获取令牌以进行验证的成本很高。

浏览 1提问于2015-06-13得票数 4

2回答

邮递员返回带钥匙罩的HTML登录页面

spring-boot、postman、microservices、keycloak、spring-cloud-gateway

我有一个简单的微服务项目，有一个api网关，一个产品服务和钥匙罩作为身份验证服务器。我相信我的配置是正确的，因为在浏览器上我得到了正确的响应，但在postman上，我得到的响应是keycloak默认登录页面(在HTML上)。这是浏览器上的响应 ? 这是邮递员的回复 ? uri: http://localhost:9191

浏览 28提问于2021-10-26得票数 0

回答已采纳

1回答

优步OAuth2:刷新令牌呼叫返回invalid_grant错误

api、oauth、uber-api

优步OAuth2刷新令牌呼叫返回以下错误：我从另一篇文章中读到以下内容。是真的吗？溶液在浏览了Uber OAu

浏览 0提问于2016-12-08得票数 0

回答已采纳

5回答

如何使用Social进行rest身份验证？

spring、spring-security、spring-social、spring-security-oauth2

我已经实现了Spring + Security，如Spring安全示例(以及使用security配置)所概述的那样。我当时报告了几个问题(请参阅)，所有这些问题都解决了，我的安全性也很好。但是，我希望更改我的安全实现并使用RESTful身份验证。Spring /OAuth2 ()解决了这个问题，但我看不出Social将如何融入这幅图片？尽管Spring在幕后与oauth<

浏览 3提问于2013-11-17得票数 66

1回答

Spring安全中的Oauth2客户端

java、spring、spring-security、oauth

我已经为使用Spring实现的OAuth2客户端找到了示例。我使用Spring实现了OAuth2授权和资源服务器。我想从那个授权服务器获得访问令牌。我需要一个示例，说明如何仅使用客户端凭据从我的OAuth2服务器获取访问令牌。没有涉及到用户，只有我的客户端应用程序使用客户端凭据获取访问<em

浏览 1提问于2016-06-28得票数 7

回答已采纳

2回答

无状态弹簧安全oauth2提供程序

spring-mvc、cookies、spring-security、oauth、stateless

我想建立一个基于spring、security和spring-oauth2的简单OAuth2提供程序。我在一个实例机器上完成了所有工作:对于OAuth2授权，用户被发送到/oauth/authorize。在默认配置中，spring安全使用会话id在用户浏览器中设置cookie，并将会话数据存储在内存中

浏览 12提问于2016-07-07得票数 12

1回答

在授权代码授予流情况下，浏览器中存储的OAuth访问令牌在哪里？

oauth-2.0、azure-active-directory

我输入了我的凭据，并登录到一个受OAuth授权代码流保护的web应用程序。然后我执行了以下步骤：我的理解如下：访问令牌将存储在我的web应用程序运行的web服务器</em

浏览 0提问于2019-11-15得票数 4

回答已采纳

1回答

Spring Security OAuth2 cookies

java、spring、oauth、spring-security、oauth-2.0

我使用Spring Security在我的应用程序中实现了OAuth2。目前只支持access_token请求参数。我可以在哪里添加一些自定义，以也接受来自cookie的令牌？

浏览 3提问于2013-01-05得票数 1

回答已采纳

1回答

使用android AccountManager获取OAuth2* token？*

java、android、google-api、oauth-2.0、accountmanager

有没有可能使用android AccountManager获取一个OAuth2令牌，以便与谷歌API一起使用？我所知道的唯一另一种方法是有一个webView，并让用户登录以获得OAuth2令牌，但对于许多人来说，这似乎是一项大量的工作，所以如果我可以使用AccountManager获得它，那就更好了。有像这样的功能吗？

浏览 4提问于2012-06-16得票数 2

回答已采纳

1回答

如何管理在iframe中运行的单页应用程序中的用户会话？

spring-security、oauth-2.0、single-page-application、openid-connect、access-token

Oauth2授权我们正在尝试的是使服务器(应用程序A)成为Oauth2Resource服务器和Oauth2Authorization服务器。应用程序B (JSP前端)删除数据库连接以及登录控制器，应用程序B将调用oauth2服务器授权用户使用“密码”流，当应用程序B接收到access_token和refresh_token时，它将以某种方式将其传递给Iframe (角应用程序)，将</em

浏览 1提问于2020-07-24得票数 0

1回答

如何将OAuth2会话存储到数据库中并在Spring服务器之间共享

spring、spring-boot、spring-security、oauth-2.0、spring-oauth2

我想创建一个基于该教程的解决方案：但我不清楚负载平衡后的几个Spring服务器如何能够共享相同的令牌会话。使用会话cookie，会话数据可以存储在MySQL中，服务器离线时，会话将由另一个Spring服务器恢复。我们是否可以在OAuth2中使用与共享数据库相同的</

浏览 4提问于2020-05-24得票数 1

回答已采纳

2回答

Oauth2 -在XX分钟的无活动状态下实现自动注销

php、api、oauth、yii2、oauth-2.0

我正在使用库来实现oauth2服务器。目前，我使用访问令牌对每个请求进行身份验证，在访问令牌过期时使用刷新令牌，因此如果刷新令牌未过期，则服务器将返回新的访问令牌。我想用Oauth2实现标准的“PHP会话超时”。因此，从上次请求到XX分钟后，我的令牌将无效

浏览 1提问于2016-01-08得票数 3

2回答

用OAuth2下载Javascript文件

oauth、spring-security、spring-security-oauth2

我正在开发一个单页面，客户端有Javascript+AngularJS，服务器端有Spring + Security OAuth2。Spring充当来自页面的任何AJAX请求的REST控制器。要下载XML文件(导出用户数据)，我通过AJAX下载它们，使用OAuth2头并创建一个Blob以允许在浏览器中保存该文件： var blob = new Blob([data.data], {'type没有显示正确的进

浏览 3提问于2015-02-07得票数 6

回答已采纳

3回答