开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何使刷新令牌的有效期更长，并在spring refresh_token oauth2中每次出现新的安全grant_type时发出一个新的刷新令牌

为了使刷新令牌的有效期更长，并在Spring Refresh Token OAuth2中每次出现新的安全grant_type时发出一个新的刷新令牌，可以采取以下步骤：

配置刷新令牌的有效期：在Spring Security配置文件中，可以设置刷新令牌的有效期。可以通过设置refresh_token_validity属性来指定刷新令牌的有效期，单位为秒。例如，设置为3600表示刷新令牌的有效期为1小时。
自定义刷新令牌生成策略：可以自定义刷新令牌的生成策略，以便在每次出现新的安全grant_type时生成一个新的刷新令牌。可以实现TokenEnhancer接口，并重写enhance方法来实现自定义的刷新令牌生成逻辑。在该方法中，可以根据需要生成一个新的刷新令牌，并将其与访问令牌关联起来。
配置Spring Security OAuth2：在Spring Security配置文件中，需要配置OAuth2的相关信息，包括客户端信息、授权服务器、令牌存储等。可以使用@EnableAuthorizationServer注解来启用授权服务器，并配置相关的参数。
使用Spring Security OAuth2进行认证和授权：在应用程序中，可以使用Spring Security OAuth2来进行认证和授权。可以使用@EnableResourceServer注解来启用资源服务器，并配置相关的参数。在客户端请求资源时，需要携带有效的访问令牌和刷新令牌。

总结起来，要使刷新令牌的有效期更长，并在Spring Refresh Token OAuth2中每次出现新的安全grant_type时发出一个新的刷新令牌，需要配置刷新令牌的有效期，自定义刷新令牌生成策略，并使用Spring Security OAuth2进行认证和授权。

腾讯云相关产品和产品介绍链接地址：

腾讯云云服务器（CVM）：https://cloud.tencent.com/product/cvm
腾讯云云数据库MySQL版：https://cloud.tencent.com/product/cdb_mysql
腾讯云对象存储（COS）：https://cloud.tencent.com/product/cos
腾讯云人工智能（AI）：https://cloud.tencent.com/product/ai
腾讯云物联网（IoT）：https://cloud.tencent.com/product/iot
腾讯云移动开发（移动推送）：https://cloud.tencent.com/product/umeng
腾讯云区块链（BCS）：https://cloud.tencent.com/product/bcs
腾讯云元宇宙（Tencent Cloud Metaverse）：https://cloud.tencent.com/solution/metaverse

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

从0开始构建一个Oauth2Server服务发起认证请求

访问令牌可能因多种原因而过期，例如用户撤销应用程序，或者如果授权服务器在用户更改密码时使所有令牌过期。如果您发出 API 请求并且令牌已经过期，您将收到一个表明此情况的响应。...要使用刷新令牌，请使用向服务的令牌端点发出 POST 请求grant_type=refresh_token，并在需要时包括刷新令牌和客户端凭据。...&client_id=xxxxxxxxxx &client_secret=xxxxxxxxxx 响应将是一个新的访问令牌，并且可以选择一个新的刷新令牌，就像您在将授权代码交换为访问令牌时收到的一样。...最安全的选择是授权服务器在每次使用刷新令牌时发出一个新的刷新令牌。这是最新的安全最佳当前实践中的建议，它使授权服务器能够检测刷新令牌是否被盗。...这就是应用程序是否知道刷新令牌的预期寿命无关紧要的原因，因为无论它过期的原因如何，结果总是相同的。

1863 0

Spring OAuth2 实现始终获取新的令牌

Spring基于OAuth2协议编写的spring-oauth2实现，是行业级的接口资源安全解决方案，我们可以基于该依赖配置不同客户端的不同权限来访问接口数据。...比如我们现在有一个名为hengboy的账户：第一个人登录时令牌有效期为我们配置的最长有效期（假设为7200秒），这时又有第二个人登录的同一个用户，第二个人获取的令牌并不会重置有效期（可能还剩下3000秒...grant_type=refresh_token）重新获取一次新的（有效期为2个小时）请求令牌，当刷新令牌（refresh_token）失效后，再次通过createAccessToken方法来获取令牌。...，而调用refreshAccessToken方法时需要删除响应的refresh_token的返回字段并把新的请求令牌与刷新令牌进行绑定。...，这也就是实现了针对同一个账号不同人登录时返回新的令牌的需求。

2.1K2 0

SpringBoot整合spring-security-oauth2完整实现例子

(本例子中笔者对此模式做了改造，客户端仍然需要进行basic认证，目的是在一个认证授权中心里面，为了确认客户端和用户均有效且能够建立信任关系) 3....刷新令牌本例中，设置的令牌有效期access_token_validity为7199秒，即两个小时。刷新令牌的有效期refresh_token_validity为2592000秒，即30天。...当access_token过期且refresh_token未过期时，可以通过refresh_token进行刷新令牌，获取新的access_token和refresh_token ?...此模式获取令牌接口 grant_type固定传值 refresh_token 6. 检查令牌是否有效当需要进行确定令牌是否有效时，可以进行check_token ?...需要准备spring_oauth2的相关数据表，执行本项目下的db脚本(里面配置了oauth2的基础表和客户端及用户账号信息)。运行项目

6.6K1 0

学成在线-第16天-讲义- Spring Security Oauth2 JWT RSA加解密

3 Spring Security Oauth2研究 3.1 目标本项目认证服务基于Spring Security Oauth2进行构建，并在其基础上作了一些扩展，采用JWT令牌机制，并自定义了用户身份信息的内容...上边参数使用x-www-form-urlencoded方式传输，使用postman测试如下：注意：当令牌没有过期时同一个用户再次申请令牌则不再颁发新令牌。...companyId、userpic、name、utype、id：这些字段是本认证服务在Spring Security基础上扩展的用户身份信息 3.5刷新令牌刷新令牌是当令牌快过期时重新生成一个令牌...（注意不是access_token，而是refresh_token）刷新令牌成功，会重新生成新的访问令牌和刷新令牌，令牌的有效期也比旧令牌长。...解决：使用JWT的思路是，用户认证通过会得到一个JWT令牌，JWT令牌中已经包括了用户相关的信息，客户端只需要携带JWT访问资源服务，资源服务根据事先约定的算法自行完成令牌校验，无需每次都请求认证服务完成授权

11.9K1 0

Spring Authorization Server 全新授权服务器整合使用

前言 Spring Authorization Server 是 Spring 团队最新开发适配 OAuth 协议的授权服务器项目，旨在替代原有的 Spring Security OAuth...经过半年的开发和孵化，目前已经发布了 0.1.0 版本，初步支持授权码、客户端、刷新、注销等 OAuth 协议本文环境基于 Spring Boot 2.4.2 && authorization-server...初始化配置由于官方还未提供对应的 Spring Boot Starter 自动化配置，需要自己配置相关的 @Bean 本配置基于 Spring Boot 2.4.2 请知悉 @Configuration...登录客户端,基于授权码、刷新令牌的能力 @Bean public RegisteredClientRepository registeredClientRepository() { RegisteredClient...RegisteredClient..tokenSettings() 默认配置如下，包括令牌有效期，刷新令牌控制等 protected static Map defaultSettings

2.7K2 0

Spring Security 在 Spring Boot 中使用 OAuth2【分布式】

用于唯一标识每一个客户端，在注册时必须填写(也可由服务端自动生成)，对于不同的 grant_type，该字段都是必须的。...，所以它通常用来处理一个生命周期较短的令牌以及撤销刷新令牌(refresh_token)。...即刷新令牌授权类型模式的流程中就会包含一个检查，用来确保这个账号是否仍然有效。 ...♞ tokenStore：TokenStore 类的实例，指定令牌如何访问，与 tokenServices 配置可选 ♞ resourceld：这个资源服务的 id，这个属性是可选的，但是推荐设置并在授权服务中进行验证...1.5.6 刷新 token 获取 access_token 的同时，一般会同时返回 refresh_token，使用 refresh_token 进行刷新，刷新后旧的 token 将失效 ?

7.1K4 1

微服务 day16：基于Spring Security Oauth2开发认证服务

三、Spring Security Oauth2 研究 0x01 目标本项目认证服务基于 Spring Security Oauth2 进行构建，并在其基础上作了一些扩展，采用 JWT 令牌机制，并自定义了用户身份信息的内容...0x06 刷新令牌刷新令牌是当令牌快过期时重新生成一个令牌，它于授权码授权和密码授权生成令牌不同，刷新令牌不需要授权码也不需要账号和密码，只需要一个刷新令牌、客户端id 和客户端密码。...测试如下： POST：http://localhost:40400/auth/oauth/token 参数： grant_type：固定为 refresh_token refresh_token：刷新令牌...（注意不是 access_token，而是 refresh_token）刷新令牌成功，会重生成新的访问令牌和刷新令牌，令牌的有效期也比旧令牌长。...解决：使用 JWT 的思路是，用户认证通过会得到一个 JWT 令牌，JWT 令牌中已经包括了用户相关的信息，客户端只需要携带 JWT 访问资源服务，资源服务根据事先约定的算法自行完成令牌校验，无需每次都请求认证服务完成授权

4.2K3 0

【Spring底层原理高级进阶】【SpringCloud整合Spring Security OAuth2】深入了解 Spring Security OAuth2：底层解析＋使用方法+实战

：（整合SpringCloud）在实施OAuth2协议时，需要考虑以下安全性问题和采取相应的防护措施：令牌的安全传输：令牌在客户端和服务器之间传输时应进行安全加密，以防止令牌被拦截和篡改。...客户端应采取适当的安全措施，如存储令牌时进行加密处理。在Spring Cloud中，可以使用Spring Security OAuth2来实现令牌的保密性。...授权服务器应定期检查和清理过期的令牌，并提供令牌刷新机制，使客户端能够获取新的令牌。...在configure方法中，我们配置了一个简单的客户端，包括客户端ID、密钥、授权类型、作用域以及访问令牌和刷新令牌的有效期。...那我们就来看一个完整的使用SpringCloud整合Spring Security OAuth2实现微服务之间的安全通信的案例吧我们将使用一个商城以及商家管理后台的业务部模块来讲解如何使用Spring

1.9K1 1

JWT学习

Java中解析JWT中的内容刷新令牌 Spring Security Oauth2 整合单点登录（SSO）创建客户端工程,添加依赖修改配置文件在启动类上添加@EnableOAuth2Sso注解来启用单点登录功能...每一个令牌授权一个特定的第三方系统（例如，视频编辑网站)在特定的时段（例如，接下来的2小时内）内访问特定的资源（例如仅仅是某一相册中的视频）。...可以在令牌中自定义丰富的内容，易扩展。通过非对称加密算法及数字签名技术，JWT防止篡改，安全性高。资源服务使用JWT可不依赖认证服务即可完成授权。缺点： JWT令牌较长，占存储空间比较大。...中使用oauth2时，如果令牌失效了，可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。...","password","refresh_token"); } 使用刷新令牌模式来获取新的令牌，访问如下地址： http://localhost:8080/oauth/token ---- Spring

2.8K4 0

OAuth 2.0 授权认证详解

OAuth的出现就是为了解决访问资源的安全性以及灵活性。...刷新令牌（refresh token）刷新令牌的作用在于更新访问令牌，访问令牌的有效期一般较短，这样可以保证在发生访问令牌泄露时，不至于造成太坏的影响，但是访问令牌有效期设置太短存在的副作用就是用户需要频繁授权...，虽然可以通过一定的机制进行静默授权，但是频繁的调用授权接口，之于授权服务器也是一种压力，这种情况下就可以在下发访问令牌的同时下发一个刷新令牌，刷新令牌的有效期明显长于访问令牌，这样在访问令牌失效时，可以利用刷新令牌去授权服务器换取新的访问令牌...上面 URL 中： grant_type参数为refresh_token表示要求更新令牌，此处的值固定为refresh_token，必选项； client_id参数和client_secret参数用于确认身份...B 网站验证通过以后，就会颁发新的令牌。注意：第三方应用服务器拿到刷新令牌必须存于服务器，通过后台进行重新获取新的令牌，以保障刷新令牌的保密性。

1.8K4 0

Spring Security---Oauth2详解

一、配置令牌刷新获取AccessToken 刷新AccessToken 令牌的有效期 编码实现资源服务器 “合二为一”还是“分而治之” 配置资源服务器使用AccessToken访问资源认证资源服务器分离...Security Spring Security 5.2新引入的OAuth支持作为一个OAuth的开发者，你可能在一开始完全不知道该使用哪一个进行项目的开发？...：可以看到access_token被刷新，并且其有效期回归初始值43199(实际是43200秒、12小时) {"access_token":"5286b54d-8e07-4bdd-a641-1e1ace7af6d2..."scope":"all"} ---- 令牌的有效期 通常情况下，refresh_token的有效期要远大于access_token的有效期。...比如平台 access_token的有效期 refresh_token的有效期 小米开放平台 90天 10年微信开放平台 2小时未知腾讯开放平台 90天未知当然最重要的还是要保护client_d

4.5K1 0

可能是第二好的 Spring OAuth 2.0 文章，艿艿端午在家写了 3 天~

概述在《芋道 Spring Boot 安全框架 Spring Security 入门》文章中，艿艿分享了如何使用 Spring Security 实现认证与授权的功能，获得广大女粉丝的好评。...：访问令牌（Access Token）刷新令牌（Refresh Token）在访问令牌过期时，我们可以使用刷新令牌向授权服务器获取一个新的访问令牌。...可能会胖友有疑惑，为什么会有刷新令牌呢？每次请求资源服务器时，都会在请求上带上访问令牌，这样它的泄露风险是相对高的。因此，出于安全性的考虑，访问令牌的过期时间比较短，刷新令牌的过期时间比较长。...Client 的授权模式中，额外新增 "refresh_token" 刷新令牌。...请求参数 grant_type 为 "refresh_token"，表示使用刷新令牌模式。请求参数 refresh_token，表示刷新令牌。

2.1K3 0

从0开始构建一个Oauth2Server服务 Refreshing-access-tokens

刷新令牌 Refreshing-access-tokens 如何让您的开发人员使用刷新令牌来获取新的访问令牌。如果您的服务随访问令牌一起发出刷新令牌，则您需要实现此处描述的刷新授权类型。...通常这不会包含在请求中，如果省略，服务应该发出一个与之前发出的范围相同的访问令牌。客户端身份验证（如果客户端被授予机密则需要）通常，刷新令牌仅用于机密客户端。...服务器可能会在响应中发出新的刷新令牌，但如果响应不包含新的刷新令牌，则客户端会假定现有的刷新令牌仍然有效。例子以下是服务将接收的刷新授权示例。...&client_id=xxxxxxxxxx &client_secret=xxxxxxxxxx Response 对刷新令牌授予的响应与发出访问令牌时的响应相同。...您可以选择在响应中发出新的刷新令牌，或者如果您不包含新的刷新令牌，则客户端假定当前的刷新令牌将继续有效。

1781 0

聊聊 OAuth 2.0 的 Token 续期处理

去获取 token 时，若当前用户已经存在对应的token，直接返回而不不会创建新 token。...综上情况，在操作过程中token 过期是一个常态化的问题。...' 若上，当前端拿着正确的(未过期且未使用过)refresh_token 去调用认证中心的刷新端点刷新时，会触发RefreshTokenGranter, 返回新的 Token public class...客户端根据返回错误信息（响应码），直接调用认证服务器 refresh_token 认证服务器返回新的 token 给客户端，然后再次发起资源调用被动请求的缺点是，用户当次请求会失败（返回token...失败），对一些业务连贯的操作不是很友好主动刷新 [ws6815q0bb.jpeg] 客户端存在计算逻辑，计算下发token 有效期 若token要过期之前,主动发起刷新主动请求的缺点是，客户端占用部分计算资源来处理

3.3K4 0

第十八章：SpringBoot项目中使用SpringSecurity整合OAuth2设计项目API安全接口服务

本章目标基于SpringBoot项目提供一个继承OAuth2安全框架的REST API服务端，必须获取访问授权令牌后才可以访问资源。...图10 RefreshToken信息表刷新Token时需要用到refresh_token信息表结构如下图11所示： ?...刷新AccessToken 我们的access_token过期我们需要刷新后返回新的token，使用新token才能继续操作数据接口。刷新access_token如下图33所示： ?...图33 看到上图33红色框内的值了吗？这个就是我们之前获取token时，oauth2给我们返回的refresh_token值，我们需要用到该值来进行刷新token。...新的token值得有效期可以看到又是我们配置的默认1800秒，刷新token时oauth2还是给我们返回了一个refersh_token值，该值要作为下次刷新token时使用。

2.3K4 0

Spring Security oAuth2

Spring Security oAuth2 oAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。Spring Security 实现了 oAuth 协议。...令牌的访问与刷新 Access Token Access Token 是客户端访问资源服务器的令牌。拥有这个令牌代表着得到用户的授权。然而，这个授权应该是临时的，有一定有效期。...这是因为 Access Token 在使用的过程中可能会泄露。给 Access Token 限定一个较短的有效期可以降低因 Access Token 泄露而带来的风险。...refresh_token=&client_id= 传入 refresh_token 和 client_id，认证服务器验证通过后，返回一个新的 access_token。...刷新 Access Token 时，需要验证这个 client_secret。实际上的刷新接口类似于： http://www.funtl.com/refresh?

7261 0

聊聊 OAuth 2.0 的 token expire_in 使用

源码剖析我们来看下 oauth2 的令牌方法机制,如果客户端配置的 validitySeconds (令牌有效期) 大于 0 会返回当前令牌的有效时间 expires_in 参数， OAuth2AccessToken...":"IwOGYzYTlmM2YxOTQ5MGE3YmNmMDFkNTVk", "scope":"create" } access_token (必需) 授权服务器发出的访问令牌 token_type...expires_in （推荐）如果访问令牌过期过期时间。 refresh_token（可选）刷新令牌，在访问令牌过期后，可使用此令牌刷新。...scope（可选）如果用户授予的范围与应用程序请求的范围相同，则此参数为可选。此处 expires_in 推荐返回，无论是有设置有效期限制还是无有效期限制。...所以此处 spring security oauth2 的处理并不符合协议规范 emmm 。 [20200407144312_LffrNe_Screenshot.jpeg]

1.5K3 0

实战：画了几张图，终于把OAuth2搞清楚了

对于身份认证和用户授权，之前写过几篇关于Shiro和Security的文章。从发送口令获取源码的反馈来看，大家还是比较认可的。今天给大家带来一种新的授权方式：oauth2。...； oauth_approvals：存储用户的授权信息； oauth_refresh_token：存储刷新令牌的refresh_token，如果客户端的grant_type不支持refresh_token...模式授权码模式我们前边所讲的内容都是基于授权码模式，授权码模式被称为最安全的一种模式，它获取令牌的操作是在两个服务端进行的，极大的减小了令牌泄漏的风险。...该模式的弊端就是token直接暴漏在浏览器中，非常不安全，不建议使用。密码模式密码模式下，用户需要将账户和密码提供给客户端向认证服务器申请令牌，所以该种模式需要用户高度信任客户端。...个人认为是生成token时发现数据库中token存在，故不刷新token，但进行校验时却用带有权限标识的token前去校验导致失败。

8943 0

聊聊 OAuth 2.0 的 token expire_in 使用

源码剖析我们来看下 oauth2 的令牌方法机制,如果客户端配置的 validitySeconds (令牌有效期) 大于 0 会返回当前令牌的有效时间 expires_in 参数， OAuth2AccessToken...":"IwOGYzYTlmM2YxOTQ5MGE3YmNmMDFkNTVk", "scope":"create" } access_token (必需) 授权服务器发出的访问令牌 token_type...expires_in （推荐）如果访问令牌过期过期时间。 refresh_token（可选）刷新令牌，在访问令牌过期后，可使用此令牌刷新。...scope（可选）如果用户授予的范围与应用程序请求的范围相同，则此参数为可选。此处 expires_in 推荐返回，无论是有设置有效期限制还是无有效期限制。...所以此处 spring security oauth2 的处理并不符合协议规范 emmm 。

1.6K1 0

【我在拉勾训练营学技术】OAuth2+JWT 实现权限验证

第三⽅授权登录的场景：⽐如，我们经常登录⼀些⽹站或者应⽤的时候，可以选择使⽤第三⽅授权登录的⽅式，⽐如：微信授权登录、QQ授权登录、微博授权登录等，这是典型的 OAuth2 使⽤场景。...Spring Cloud OAuth2 + JWT 实现 Spring Cloud OAuth2 是 Spring Cloud 体系对OAuth2协议的实现，可以⽤来做多个微服务的统⼀认证（验证身份合法性...通过向OAuth2服务（统⼀认证授权服务）发送某个类型的 grant_type 进⾏集中认证和授权，从⽽获得 access_token（访问令牌），⽽这个 token 是受其他微服务信任的。...搭建认证服务器创建一个新的的模块，service-oauth-hw-9900。...的令牌存储机制 JWT 令牌介绍通过上边的测试我们发现，当资源服务和授权服务不在⼀起时资源服务使⽤RemoteTokenServices 远程请求授权服务验证token，如果访问量较⼤将会影响系统的性能

1.5K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭