如何用Spring Security OAuth2 实现登录互踢，面试必学

 

背景说明

一个账号只能一处登录，类似的业务需求在现有后管类系统是非常常见的。 但在原有的 spring security oauth2 令牌方法流程（所谓的登录）无法满足类似的需求。

我们先来看 TokenEndpoint 的方法流程

客户端 带参访问 /oauth/token 接口，最后去调用 TokenGranter
另外要注意：突破高薪Java架构项目经验永远是核心，如果你没有最新JAVA架构实战教程及大厂30k+面试宝典，可以去小编的Java架构学习.裙 ：七吧伞吧零而衣零伞 （数字的谐音）转换下可以找到了，里面很多新JAVA架构项目教程，还可以跟老司机交流讨教！ 

TokenGranter 根据不同的授权类型，获取用户认证信息 并去调用TokenServices 生成令牌

重新 TokenService

• 重写发放逻辑createAccessToken，当用户管理的令牌存在时则删除重新创建，这样会导致之前登陆获取的token 失效，顺理成章的被挤掉。

	@Transactional
	public OAuth2AccessToken createAccessToken() {   
		OAuth2AccessToken existingAccessToken = tokenStore.getAccessToken(authentication);
		OAuth2RefreshToken refreshToken = null;
		// 重写此处，当用户关联的token 存在时，删除原有令牌
		if (existingAccessToken != null) {
			tokenStore.removeAccessToken(existingAccessToken);
		}
		else if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
			ExpiringOAuth2RefreshToken expiring = (ExpiringOAuth2RefreshToken) refreshToken;
			if (System.currentTimeMillis() > expiring.getExpiration().getTime()) {
				refreshToken = createRefreshToken(authentication);
			}
		}

	OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);
	tokenStore.storeAccessToken(accessToken, authentication);
	// In case it was modified
	refreshToken = accessToken.getRefreshToken();
	if (refreshToken != null) {
		tokenStore.storeRefreshToken(refreshToken, authentication);
	}
	return accessToken;
}
复制代码

复制代码

复制代码

 

重写 Token key 生成逻辑

• 如上代码，我们实现用户单一终端的唯一性登录，什么是单一终端 我们可以类比 QQ 登录 移动端和 PC 端可以同时登录，但 移动端 和移动端不能同时在线。
• 如何能够实现 在不同客户端也能够唯一性登录呢？

先来看上文源码 OAuth2AccessToken existingAccessToken=tokenStore.getAccessToken(authentication); 是如何根据用户信息判断 token 存在的呢？

public OAuth2AccessToken getAccessToken(OAuth2Authentication authentication) {
		String key = authenticationKeyGenerator.extractKey(authentication);
		  // redis 查询逻辑，根据 key
		return accessToken;
复制代码

} 复制代码

 

• AuthenticationKeyGenerator key值生成器 默认情况下根据 username/clientId/scope 参数组合生成唯一token

public String extractKey(OAuth2Authentication authentication) {
	Map<String, String> values = new LinkedHashMap<String, String>();
	OAuth2Request authorizationRequest = authentication.getOAuth2Request();
	if (!authentication.isClientOnly()) {
		values.put(USERNAME, authentication.getName());
	}
	values.put(CLIENT_ID, authorizationRequest.getClientId());
	if (authorizationRequest.getScope() != null) {
		values.put(SCOPE, OAuth2Utils.formatParameterList(new TreeSet<String>(authorizationRequest.getScope())));
	}
	return generateKey(values);
}
复制代码

• 若想实现，多终端的唯一性登录，只需要使得同一个用户在多个终端生成的 token 一致，加上上文提到的 createToken 修改逻辑,既去掉extractKey 的 clientId 条件，不区分终端即可

public String extractKey(OAuth2Authentication authentication) {
	Map<String, String> values = new LinkedHashMap<String, String>();
	OAuth2Request authorizationRequest = authentication.getOAuth2Request();
	if (!authentication.isClientOnly()) {
		values.put(USERNAME, authentication.getName());
	}
	if (authorizationRequest.getScope() != null) {
		values.put(SCOPE, OAuth2Utils.formatParameterList(new TreeSet<String>(authorizationRequest.getScope())));
	}
	return generateKey(values);
}
复制代码

• 最后在 authserver 中注入新的 TokenService 即可
  最后注意：突破高薪Java架构项目经验永远是核心，如果你没有最新JAVA架构实战教程及大厂30k+面试宝典，可以去小编的Java架构学习.裙 ：七吧伞吧零而衣零伞 （数字的谐音）转换下可以找到了，里面很多新JAVA架构项目教程，还可以跟老司机交流讨教！ 

  本文的文字及图片来源于网络加上自己的想法,仅供学习、交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理

原文链接:https://www.cnblogs.com/chengxuyuanaa/p/12841721.html
如有疑问请与原作者联系

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有