ฉันจะรีเฟรชโทเค็นใน Spring Security ได้อย่างไร
บรรทัดนี้:
Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
แสดงข้อผิดพลาดเช่นนี้เมื่อโทเค็น jwt ของฉันหมดอายุ:
JWT หมดเขต 2020-05-13T07: 50: 39Z เวลาปัจจุบัน: 2020-05-16T21: 29: 41Z.
โดยเฉพาะอย่างยิ่งมันเป็นฟังก์ชันที่แสดงข้อยกเว้น "ExpiredJwtException":
ฉันจะจัดการข้อยกเว้นเหล่านี้ได้อย่างไร ฉันควรจับพวกเขาและส่งข้อความแสดงข้อผิดพลาดกลับไปยังไคลเอนต์และบังคับให้พวกเขาเข้าสู่ระบบอีกครั้งหรือไม่?
ฉันจะใช้งานคุณลักษณะโทเค็นการรีเฟรชได้อย่างไร? ฉันใช้ Spring และ mysql ในแบ็กเอนด์และ vuejs ที่ส่วนหน้า
ฉันสร้างโทเค็นเริ่มต้นดังนี้:
@Override
public JSONObject login(AuthenticationRequest authreq) {
JSONObject json = new JSONObject();
try {
Authentication authentication = authenticationManager.authenticate(
new UsernamePasswordAuthenticationToken(authreq.getUsername(), authreq.getPassword()));
UserDetailsImpl userDetails = (UserDetailsImpl) authentication.getPrincipal();
List<String> roles = userDetails.getAuthorities().stream().map(item -> item.getAuthority())
.collect(Collectors.toList());
if (userDetails != null) {
final String jwt = jwtTokenUtil.generateToken(userDetails);
JwtResponse jwtres = new JwtResponse(jwt, userDetails.getId(), userDetails.getUsername(),
userDetails.getEmail(), roles, jwtTokenUtil.extractExpiration(jwt).toString());
return json.put("jwtresponse", jwtres);
}
} catch (BadCredentialsException ex) {
json.put("status", "badcredentials");
} catch (LockedException ex) {
json.put("status", "LockedException");
} catch (DisabledException ex) {
json.put("status", "DisabledException");
}
return json;
}
จากนั้นในคลาส JwtUtil:
public String generateToken(UserDetails userDetails) {
Map<String, Object> claims = new HashMap<>();
return createToken(claims, userDetails.getUsername());
}
private String createToken(Map<String, Object> claims, String subject) {
return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(new Date(System.currentTimeMillis()))
.setExpiration(new Date(System.currentTimeMillis() + EXPIRESIN))
.signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();
}
สำหรับข้อมูลเพิ่มเติมนี่คือฟังก์ชัน doFilterInternal ของฉันที่กรองทุกคำขอ:
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
throws ServletException, IOException, ExpiredJwtException, MalformedJwtException {
try {
final String authorizationHeader = request.getHeader("Authorization");
String username = null;
String jwt = null;
if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
jwt = authorizationHeader.substring(7);
username = jwtUtil.extractUsername(jwt);
}
if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
UserDetails userDetails = userService.loadUserByUsername(username);
boolean correct = jwtUtil.validateToken(jwt, userDetails);
if (correct) {
UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
userDetails, null, userDetails.getAuthorities());
usernamePasswordAuthenticationToken
.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
}
}
chain.doFilter(request, response);
} catch (ExpiredJwtException ex) {
resolver.resolveException(request, response, null, ex);
}
}
คำตอบ
มี 2 แนวทางหลักในการจัดการกับสถานการณ์ดังกล่าว:
จัดการการเข้าถึงและรีเฟรชโทเค็น
ในกรณีนี้โฟลว์คือขั้นตอนต่อไปนี้:
ผู้ใช้เข้าสู่ระบบแอปพลิเคชัน (รวมถึง
usernameและpassword)แอปพลิเคชันแบ็กเอนด์ของคุณส่งคืนข้อมูลรับรองที่จำเป็นและ:
2.1 เข้าถึงโทเค็น JWTที่เวลาหมดอายุมักจะ "ต่ำ" (15, 30 นาที ฯลฯ )
2.2 รีเฟรชโทเค็น JWTด้วยเวลาที่หมดอายุมากกว่าการเข้าถึงหนึ่ง
จากนี้แอปพลิเคชันส่วนหน้าของคุณจะใช้
access tokenในAuthorizationส่วนหัวสำหรับทุกคำขอ
เมื่อแบ็กเอนด์กลับ401มาแอปพลิเคชันส่วนหน้าจะพยายามใช้refresh token(โดยใช้ปลายทางเฉพาะ) เพื่อรับข้อมูลรับรองใหม่โดยไม่บังคับให้ผู้ใช้เข้าสู่ระบบอีก
ขั้นตอนการรีเฟรชโทเค็น (นี่เป็นเพียงตัวอย่างเท่านั้นโดยปกติจะมีการส่งโทเค็นการรีเฟรชเท่านั้น)
หากไม่มีปัญหาผู้ใช้จะสามารถใช้แอปพลิเคชันต่อไปได้ หากแบ็กเอนด์ส่งกลับใหม่401=> ส่วนหน้าควรเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบ
จัดการโทเค็น Jwt เพียงรายการเดียว
ในกรณีนี้โฟลว์จะคล้ายกับก่อนหน้านี้และคุณสามารถสร้างจุดสิ้นสุดของคุณเองเพื่อจัดการกับสถานการณ์ดังกล่าว: /auth/token/extend(ตัวอย่าง) รวมถึง Jwt ที่หมดอายุเป็นพารามิเตอร์ของคำขอ
ตอนนี้ขึ้นอยู่กับคุณจัดการ:
- โทเค็น Jwt ที่หมดอายุจะ "ถูกต้อง" เพื่อขยายเวลาเท่าใด
จุดสิ้นสุดใหม่จะมีลักษณะการทำงานที่คล้ายกันของการรีเฟรชในส่วนก่อนหน้าฉันหมายถึงจะส่งคืนโทเค็น Jwt ใหม่หรือ401มากกว่านั้นจากมุมมองของส่วนหน้าโฟลว์จะเหมือนกัน
สิ่งที่สำคัญอย่างหนึ่งโดยไม่ขึ้นอยู่กับแนวทางที่คุณต้องการติดตาม "จุดสิ้นสุดใหม่" ควรถูกแยกออกจากจุดสิ้นสุดที่ได้รับการรับรองความถูกต้องของ Spring ที่จำเป็นเนื่องจากคุณจะจัดการความปลอดภัยด้วยตัวเอง:
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
..
@Override
protected void configure(HttpSecurity http) throws Exception {
http.
..
.authorizeRequests()
// List of services do not require authentication
.antMatchers(Rest Operator, "MyEndpointToRefreshOrExtendToken").permitAll()
// Any other request must be authenticated
.anyRequest().authenticated()
..
}
}
คุณสามารถเรียก API เพื่อรับโทเค็นการรีเฟรชได้ตามด้านล่าง
POST https://yourdomain.com/oauth/token
Header
"Authorization": "Bearer [base64encode(clientId:clientSecret)]"
Parameters
"grant_type": "refresh_token"
"refresh_token": "[yourRefreshToken]"
โปรดสังเกตว่าไฟล์
- base64encodeเป็นวิธีการเข้ารหัสการอนุญาตไคลเอ็นต์ คุณสามารถใช้ออนไลน์ได้ที่https://www.base64encode.org/
- refresh_tokenเป็นค่า String ของgrant_type
- yourRefreshTokenคือโทเค็นการรีเฟรชที่ได้รับพร้อมกับโทเค็นการเข้าถึง JWT
ผลที่ได้คือ
{
"token_type":"bearer",
"access_token":"eyJ0eXAiOiJK.iLCJpYXQiO.Dww7TC9xu_2s",
"expires_in":20,
"refresh_token":"7fd15938c823cf58e78019bea2af142f9449696a"
}
โชคดี.