如何通过令牌而不是cookie中的jsession来访问spring客户端后端oauth2?
通过令牌而不是cookie中的jsession来访问Spring客户端后端OAuth2可以通过以下步骤实现:
- 配置Spring Security:在Spring Security配置文件中,将会话管理策略设置为STATELESS,这样可以禁用基于cookie的会话管理。
- 获取访问令牌:客户端应该使用OAuth2的授权码模式或密码模式向授权服务器请求访问令牌。授权服务器将返回一个访问令牌和可选的刷新令牌。
- 传递访问令牌:在与后端通信时,客户端应该将访问令牌作为请求的一部分发送给后端。可以通过在请求头中添加Authorization字段,值为"Bearer <access_token>"的方式传递访问令牌。
- 后端验证令牌:后端应该验证传递的访问令牌的有效性和权限。可以使用Spring Security OAuth2提供的TokenStore接口来验证令牌。TokenStore接口的实现可以存储令牌并提供验证和解析令牌的方法。
- 处理令牌过期:如果访问令牌过期,客户端可以使用刷新令牌向授权服务器请求新的访问令牌。刷新令牌应该在安全的方式下进行传输,例如通过HTTPS。
总结: 通过令牌而不是cookie中的jsession来访问Spring客户端后端OAuth2可以提高安全性和跨域访问的能力。客户端通过获取访问令牌,并将其作为请求的一部分发送给后端,后端验证令牌的有效性和权限。如果令牌过期,客户端可以使用刷新令牌获取新的访问令牌。这种方式可以避免使用基于cookie的会话管理,提高系统的安全性和可扩展性。
腾讯云相关产品推荐:
相关·内容
1回答
使用授权代码授予而不使用cookie?
angular、oauth-2.0、jwt、spring-security-oauth2、openid-connect
我已经读了好几个月了,看起来整件事都可以集中在我下面总结的内容上。我正试图达到最理想的境界:
OAuth2
OpenID连接
水疗中心/移动客户
JWT
以上部分涉及到具有银行级安全质量的解决方案。所以这似乎是有意义的。
在不使用服务器端会话和cookie的情况下使用,因为这个OAuth流比隐式流更安全。
不要创建服务器端会话或cookie(此外,请记住我的cookie,以确定客户端以前是否已经过身份验证)。这是更好的缩放和整体简单性。
将JWT / OpenID连接令牌返回到客户端,以便客户端可以使用它来发出API请求并在客户端内作出授权决策。(我认为这就
浏览 1提问于2017-10-06得票数 5
回答已采纳
2回答
每个令牌的Spring OAuth2访问令牌过期时间更新
java、spring、spring-boot、spring-security、oauth-2.0
我有一个授权服务器和多个使用OAuth2的资源服务器。所有这些都是使用Spring Security OAuth2实现的。我也有前端客户端,它使用授权代码流生成令牌。
我的情况是,如果刷新令牌的有效性是2小时,而访问令牌的有效性是1小时。首先,获取令牌没有问题(这两个令牌都是新的。1小时后,访问令牌过期。现在假设应用仅在另一个30分钟(经过1.5小时)之后使用现有的刷新令牌来重试新的访问令牌,并且生成新的访问令牌,其有效期为1小时,其比刷新令牌多出30分钟。在前端,我已经在cookie中存储了令牌,刷新令牌在30分钟后被删除。当我再次尝试使用身份验证码流获取令牌时,spring oauth2服
浏览 44提问于2021-03-07得票数 1
1回答
在Spring Security Oauth2中注销后移除access_token
spring-security、spring-security-oauth2
我在spring security和oauth2中遇到了注销问题
我们正在使用spring安全OAuth2保护REST服务。令牌和rest-api端点是无状态的,不需要会话。我只需要我的authserver进行一次登录验证,当我在rest客户端调用注销服务时,它显示200响应,但没有删除authorization.when。我输入用户名和密码,相同的用户应该是logging.but,而不是注销。我也清除了上下文。
这是我的控制器
`@Path("oauth2/logout")
public class LogoutImpl implements LogoutSuccessHa
浏览 0提问于2016-10-06得票数 0
1回答
使用谷歌RESTful授权服务器安全Spring OAuth2 API
java、angularjs、rest、spring-security-oauth2、oauth-2.0
我计划使用Spring后端和客户端在RESTful上创建应用程序。
我想用谷歌RESTful授权服务器来保护我的Spring。
我有一个建筑问题:
在谷歌获得成功授权后,我将从谷歌OAuth2授权服务器接收OAuth2。我是否需要将这个accessToken传输到我的客户端应用程序(AngularJS),还是需要在我的后端应用程序(例如JWT)中引入一些自己的安全层,并基于发布自己的jwtToken,并且只将这个令牌传输给我的客户端应用程序?
换句话说,将accessToken从谷歌展示到我的客户端AngularJS应用程序并在我自己的RESTful API中进行身份验证是否安全?
此外,如果
浏览 2提问于2016-01-06得票数 9
回答已采纳
4回答
利用腾讯云GPU构建深度学习网络?
对象存储、深度学习
如题,本人(学生)想用腾讯云构建一个实验性的深度学习网络,具体要用到腾讯云的哪些服务呢?(GPU,COS),另外还需考虑较低的成本。。。
浏览 1125提问于2017-12-13
4回答
为什么访问令牌过期?
oauth、oauth-2.0、google-api、google-oauth
我刚刚开始使用Google API和OAuth2。当客户端授权我的应用程序时,我会得到一个“刷新令牌”和一个短暂的“访问令牌”。现在,每次访问令牌过期时,我可以将我的刷新令牌发布到Google,他们会给我一个新的访问令牌。
我的问题是访问令牌过期的目的是什么?为什么不能只有一个持久的访问令牌而不是刷新令牌呢?
另外,刷新令牌是否过期?
有关Google OAuth2工作流的更多信息,请参阅。
浏览 3提问于2011-08-12得票数 212
回答已采纳
2回答
基于OAuth2的单点登录
symfony、oauth-2.0、single-sign-on
开发了基于OAuth2的单点登录系统。
我有3项服务:
SSO标识提供程序,包含用户和OAuth2服务器-
在角- 上具有前端部分的SSO服务提供商
SSO服务提供商(休闲网站)-
服务提供者检查由标识提供程序发出的每个请求访问令牌。
下一个机制是:
转到任何序列化提供程序并按下登录。
重定向到sso.idp.loc/login_check以检查凭据(从cookie)。
如果没有授权-转到sso.idp.loc/登录。
在为身份提供程序记录内集cookie并在get参数中使用这些cookie重定向到目标服务提供者之后。
为服务提供者设置get参数中的
浏览 0提问于2019-02-14得票数 1
回答已采纳
1回答
OAuth2丢失会话的Spring安全性
spring、spring-boot、spring-security、spring-security-oauth2
我们有一个基于Spring的网关,使用Security、OAuth2登录和Zuul路由.它还使用Spring会话在Redis中存储会话。此网关在会话中存储一个OAuth2令牌,并将OAuth2标记转发给后端服务。
我们有一个问题,用户经常被签出去。这似乎大约每小时发生一次。我们甚至不太清楚是什么原因造成了这一切与所有不同的工具到位。
浏览器中的会话cookie将在较长时间内过期。因此,我怀疑这要么是Spring使会话无效,要么是OAuth2令牌过期。
从代码的快速检查来看,OAuth2TokenRelayFilter似乎支持刷新令牌。这是正确的吗?
如何找出其原因并加以修正?
作为参考,我们正
浏览 3提问于2020-05-14得票数 5
2回答
将id_token传递给浏览器代码是否不安全?
security、spring-security、oauth-2.0、openid-connect、cloudfoundry-uaa
我一直在深入研究OAuth2 / OpenID连接(OIDC),在很多方面我觉得自己更聪明,但在很多方面,我担心一个简单的错误会让我变得脆弱。我正在开发超标准的商业应用程序。所以是时候问路了:
平台:关键云创建/ UAA
后端:SpringBoot1.5.x(但现在看2.0 )
前端:React SPA
OAuth2:带有openid作用域的Auth代码授予
我得到了id_token,access_token,和refresh_token
我有一百万个问题,但让我们从基本问题开始:
是否可以接受id_token并将其发送到浏览器中的react代码并将其存储在会话存储
浏览 0提问于2018-03-05得票数 0
回答已采纳
4回答
OAuth:应该在资源请求中要求客户端机密吗?
oauth、oauth-2.0、access-token、refresh-token
据我所知:客户端秘密在OAuth1中很重要,但在OAuth2中已经不再那么重要了。
但像谷歌和Twitter这样的公司似乎需要客户机密才能获得访问令牌。
从授权服务器的角度来看(例如Google、Twitter、Github.):在哪些情况下客户端秘密重新推荐/(必需)?
从授权代码中获取访问令牌。
使用刷新令牌获取新的访问令牌。
通过访问令牌获取资源。
仅仅通过授权代码获得访问令牌就足够了吗?或者当有人使用访问令牌获得重新源时,它也应该被执行吗?
TLDR:在我的例子中:客户端秘密是请求“通过授权代码获取访问令牌”和请求“获取新访问令牌&刷新令牌-令牌”所必需的
浏览 0提问于2019-03-27得票数 1
1回答
【负载均衡】请教下,公网负载均衡,能为后端无带宽主机提供出云带宽主动访问外网的能力吗?
负载均衡、共享带宽包、网络安全、nat
请问请问购买1M公网负载均衡,绑定了后端一台无带宽的云服务器。请问此时,从云主机能ping通外网吗?
负载均衡器,能否支持为后端无带宽主机,提供主动访问外网的NAT代理能力?能否支持主机上网?
那这里负载均衡收取的1M网络带宽费用是否合理?入云带宽是有,出云带宽只能返回业务请求的出云带宽,内部主机主动访问外网的带宽却无法通过负载均衡器出去~~~。底层LVS和nginx容器集群如何,请产品大大解答,谢谢
image.png
浏览 262提问于2022-03-05
回答已采纳
3回答
在oauth2的设计中,授权代码和刷新令牌的功能是否重复?
oauth、oauth-2.0
有两种获取访问令牌的方法。
使用授权代码来交换
使用刷新令牌刷新它
好好想想!!
虽然交换和刷新这两个词是不同的,但它们所做的是一样的。
这两个操作都需要解析客户端id &客户端机密(或签名)和令牌。
我们只需在系统中保存授权代码,并再次使用auth代码刷新访问令牌,就像刷新令牌一样。
只是授权代码过期太快了。
因此,我想知道为什么oauth2的设计者设计了这两个概念,而不是仅仅使用一个概念,或者说只是设计授权代码并给它一个很长的过期时间。
浏览 9提问于2013-07-15得票数 5
1回答
如果访问令牌拥有所有声明并且可以撤销,为什么还要使用openid连接ID令牌?
oauth-2.0、openid-connect、asp.net-core-2.2
我在ASP.NET核心2.2 AddJwtBearer中使用oauth2授权码流。我的令牌端点返回JWT access toke,以及检查用户权限所需的所有声明。我可以将这个令牌作为任何Web API调用的载体发送,标准的.net代码可以使用这些声明来检查权限,例如[Authorize(Policy="somePolicy")]。其中一个声明指向我们可以撤销的内部会话密钥。 所以我的问题是,为什么我需要ID令牌,甚至是刷新令牌?声明和其他详细信息都在访问令牌中,那么ID令牌会对此添加什么呢?如果信息在Auth令牌中,必须使用对userinfo端点发送的进一步调用是浪费吗?如果
浏览 20提问于2019-05-05得票数 1
回答已采纳
3回答
安全地使用带有CSRF保护和刷新令牌的JWT
authentication、cookies、csrf、jwt
我正在我的应用程序中实现JWT,我希望使它们尽可能安全。我将列出我所计划的一切,我将非常感谢关于这个实现的安全性的任何建议。这是我的网站,我有充分的访问它的每一个方面,前端和后端。
这将是一个SPA,使用API访问后端.我使用JWT来保存每次命中API时的DB调用。
JWTs
JWT存储在access_token cookie中。它们首先进行签名,然后使用何塞-杰沃特加密。签名算法为HS256,加密为DIR。它们包括用户ID、过期exp声明和其他几个自定义声明。JWT在30分钟内到期,JWT cookie在7天内到期。
(简写):
存储在cookie中的JWT
JWT包括用户ID
JWT签名后
浏览 0提问于2016-08-12得票数 14
2回答
无状态弹簧安全oauth2提供程序
spring-mvc、cookies、spring-security、oauth、stateless
我想建立一个基于spring、security和spring-oauth2的简单OAuth2提供程序。
我在一个实例机器上完成了所有工作:对于OAuth2授权,用户被发送到/oauth/authorize。大多数用户没有登录,因此通过spring安全性将它们重定向到/login,然后返回t /oauth/authorize以完成授权。
在默认配置中,spring安全使用会话id在用户浏览器中设置cookie,并将会话数据存储在内存中。
public static class SecurityConfiguration extends WebSecurityConfigurerAdapter {
浏览 12提问于2016-07-07得票数 12
1回答
持久化Spring OAuth2RestTemplate的刷新令牌
java、spring-boot、spring-security-oauth2、refresh-token、oauth2resttemplate
我有一个移动应用程序,它使用我的Spring后端来进行身份验证和访问数据。Spring应用程序的一部分使用OAuth2从资源服务器访问数据。我偶然发现了一个 for Spring,它发挥了它的魔力,而且一切都是凭空捏造的。
当我试图弄清楚这个库是如何工作的时,我似乎找不到它处理刷新令牌的方法的答案。我知道oauth2client绑定到每个用户的会话,但是当会话结束时会发生什么呢?访问和刷新令牌不会丢失吗?
我在为数据库中的每个用户寻找持久刷新令牌的方法,但在库中没有找到对此的任何支持。这让我想知道我是否必须自己实现它,或者是否有必要这样做。
如有任何建议,敬请谅解!
浏览 2提问于2019-10-14得票数 0
1回答
腾讯云API网关怎么无法restful?? 新增里面只能填写网关名和描述,其他文档的设置选项全都没?
云 API、api、云函数、serverless
腾讯云API网关怎么无法restful?? 新增里面只能填写网关名和描述,其他文档的设置选项全都没
调用scf函数也是默认的直接调用函数名,,根本不需要restful的吗== =???
浏览 545提问于2020-06-02
1回答
既是客户端又是资源服务器的OAuth2应用程序的授权
openid-connect
我试图了解使用OAuth2 (OIDC)服务器的应用程序如何实现对自己资源的访问控制。
在本例中,就OAuth2而言,应用程序既是“客户端”,也是“资源服务器”。
因此,用户从浏览器访问应用程序,并被重定向到OIDC服务器,在该服务器进行身份验证之后,OIDC服务器将access_token和id_token发送到应用程序(而不是用户的浏览器,假设应用程序在OAuth2方面是“机密”客户端)。
我认为这个access_token可以被授予对应用程序(现在作为‘资源服务器’)的访问权,它可以用来控制对应用程序资源的访问。但是用户如何将这个access_token发送到应用程序(充当‘资源服
浏览 0提问于2018-07-26得票数 4
3回答
Google OAuth2:执行令牌刷新服务器端,同时刷新通过移动应用程序获取的令牌或授权代码。
android、ios、google-oauth、refresh-token、server-application
如果oauth2授权发生在本地的android/ios应用程序中,我如何刷新令牌后端端?
我正致力于oauth2与谷歌日历的集成。我的堆栈是作为web客户端的SPA应用程序,我们有一个后端API (在灵丹妙药中)。我们还使用混合本地应用程序,因此我们的JS代码被转换成相应的iOS/Android应用程序(使用电容)。
流动情况如下:
用户授权我们使用oauth2修改他们的日历,我们请求从google 获得离线访问,我们将它发送到后端,它使用auth代码获取访问令牌和刷新令牌,然后这些令牌被保存在我们的DB中,我们使用访问令牌来执行对谷歌日历的更新。当令牌到期时,我们刷新它的后端端。
这就是在网
浏览 5提问于2022-03-25得票数 3
1回答
如何通过令牌而不是cookie中的jsession来访问spring客户端后端oauth2?
angular、spring、spring-security、oauth-2.0
我知道你可能会被标题搞糊涂。请看图片。
我有一个由spring security和spring security oauth2客户端保护的后端服务器。
@EnableWebSecurity
public class OAuth2ClientSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
浏览 10提问于2019-12-04得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
活动推荐
腾讯云开发者
