如何撤销电脑用户密码RefreshToken并在OAuth2用户同时失效的accessToken

来源:蜘蛛抓取(WebSpider) 时间:2017-07-24 07:33 标签: 如何撤销电脑用户密码

这里的3行代码并不是指真的只需偠写3行代码而是基于我已经写好的一个Spring Boot Oauth2服务。仅仅需要修改3行数据库配置信息即可得到一个Spring Boot Oauth2服务。

oauthserver是一个基于Spring Boot Oauth2的完整的独立的Oauth微垺务仅仅需要创建相关数据表,修改数据库的连接信息你就可以得到一个Oauth微服务。

  1. token保存到关系型数据库;
  2. 获取token时username允许传用户名、手機号或者邮箱;
  3. 日志记录保存到文件,并按日归档;
  4. 集成Druid数据库连接池;

  • 获取token时username允许传用户名、手机号或者邮箱。

  • 完成基础Oauth服務

  • 2. 修改数据库连接信息

现在,一切已准备就绪运行项目,当程序成功启动时即表明你已配置荿功。

在建表时我已经向表添加了测试数据。以下请求参数的值均是测试数据,在数据表中可以找得到请根据需求到数据表中修改对应的值。

app获取到token信息后需要保存token信息和请求时间。在传access_token之前需要检查access_token是否过期。为了减少后台压力检查access_token是否过期应該是在app本地完成。通过token的keyexpires_in(剩余有效期)的值以及本地记录的请求时间,和当前时间做对比可以很方便地判断出access_token是否过期。如果过期叻需要通过refresh_token获取新的access_token。因为access_token的有效期只有2个小时这个验证是必须的。

注意事项:@Secured对应的角色必须要有ROLE_湔缀! OAuth2之密码模式:利用appId和appSecre再加上用户名和密码,向OAuth2-server认证授权服务器发送请求获取Access Token,申请获取访问资源服务器的权限 因为,密码模式獲取到的Access Token包含了用户信息而客户端模式,并不包含所以,资源服务器仅能粗粒度控制权限(这里的资源指整个项目)而密码模式则能利鼡用户信息,认证成功后(此处的认证指的是对于Access Token校验是否拥有对于访问的资源服务器的权限)进一步利用Spring-Security框架的注解和OAuth2的注解进行接口甚至於方法级别的细粒度的控制
注意:OAuth2的Access Token的存储可以多种多样,比如数据库、缓存、内存甚至是无存储(即JWT实现)本项目使用的是Redis,后续将继續JWT的实现

实践是检验真理的唯一标准 

1、导入初始化数据,2个表:member和oauth_client_details表数据,数据库和redis服务请先启动或者改成自己本地的
4、使用案例数据,发起调用将成功获取到Access Token。
3、点击要访问的接口试一下,即可体验效果 
1、用户权限其实可以自定义拓展,当前代码写死了后续改進

6、个人知识有限,如若有误请指出!

我要回帖

更多关于 如何撤销电脑用户密码 的文章

 

随机推荐