本文档旨在指导开发者如何在spring Security中缓存OAuth2自省请求,以提高资源服务器的稳定性和性能,减少对认证服务器的依赖。通过自定义OpaqueTokenIntrospector并利用缓存机制,可以有效降低401错误,提升用户体验。本文将提供详细的代码示例和步骤说明,帮助你轻松实现自省请求的缓存。
在使用spring security构建OAuth2资源服务器时,经常需要通过自省端点验证令牌的有效性。当认证服务器不稳定时,频繁的自省请求可能导致资源服务器出现大量401错误。为了解决这个问题,我们可以通过缓存自省请求的结果来减少对认证服务器的依赖。
以下是如何实现这一目标的步骤:
1. 暴露OpaqueTokenIntrospector Bean
首先,需要在Spring Security配置中暴露一个OpaqueTokenIntrospector类型的Bean。这将允许我们自定义自省逻辑。
@Configuration public class SecurityConfig { @Value("${spring.security.oauth2.resourceserver.opaquetoken.introspection-uri}") private String introspectionUri; @Value("${spring.security.oauth2.resourceserver.opaquetoken.client-id}") private String clientId; @Value("${spring.security.oauth2.resourceserver.opaquetoken.client-secret}") private String clientSecret; @Bean public OpaqueTokenIntrospector introspector() { return new CustomOpaqueTokenIntrospector(this.introspectionUri, this.clientId, this.clientSecret); } // 其他配置... }
2. 创建自定义的OpaqueTokenIntrospector
接下来,创建一个自定义的OpaqueTokenIntrospector类,该类将负责缓存自省请求的结果。
import org.springframework.security.oauth2.core.OAuth2AuthenticatedPrincipal; import org.springframework.security.oauth2.server.resource.introspection.NimbusOpaqueTokenIntrospector; import org.springframework.security.oauth2.server.resource.introspection.OpaqueTokenIntrospector; import javax.cache.Cache; import javax.cache.CacheManager; import javax.cache.Caching; import javax.cache.configuration.MutableConfiguration; import javax.cache.expiry.Duration; import javax.cache.expiry.TouchedExpiryPolicy; import javax.cache.spi.CachingProvider; import java.time.Instant; public class CustomOpaqueTokenIntrospector implements OpaqueTokenIntrospector { private final OpaqueTokenIntrospector introspector; private final Cache<String, OAuth2AuthenticatedPrincipal> AccessTokenCache; public CustomOpaqueTokenIntrospector(String uri, String clientId, String clientSecret) { this.introspector = new NimbusOpaqueTokenIntrospector(uri, clientId, clientSecret); CachingProvider cachingProvider = Caching.getCachingProvider(); CacheManager cacheManager = cachingProvider.getCacheManager(); MutableConfiguration<String, OAuth2AuthenticatedPrincipal> configuration = new MutableConfiguration<String, OAuth2AuthenticatedPrincipal>() .setTypes(String.class, OAuth2AuthenticatedPrincipal.class) .setExpiryPolicyFactory(TouchedExpiryPolicy.factoryOf(Duration.ofSeconds(1800))) // 设置缓存过期时间为30分钟 .setStoreByValue(false); accessTokenCache = cacheManager.createCache("accessTokenCache", configuration); } @Override public OAuth2AuthenticatedPrincipal introspect(String token) { OAuth2AuthenticatedPrincipal principal = accessTokenCache.get(token); if (principal != null) { // 检查token是否过期 if (principal.getAttribute("exp") != null && ((Instant) principal.getAttribute("exp")).isAfter(Instant.now())) { return principal; // 从缓存返回 } else { accessTokenCache.remove(token); // 如果token已过期,则从缓存中移除 } } // 从自省端点获取token信息 principal = introspector.introspect(token); accessTokenCache.put(token, principal); // 将结果放入缓存 return principal; } }
代码解释:
- CustomOpaqueTokenIntrospector: 实现了OpaqueTokenIntrospector接口,用于自定义令牌自省逻辑。
- NimbusOpaqueTokenIntrospector: Spring Security提供的默认OpaqueTokenIntrospector实现,用于与自省端点通信。
- accessTokenCache: 使用JCache API 创建的缓存,用于存储token和对应的OAuth2AuthenticatedPrincipal。
- introspect(String token): 该方法首先尝试从缓存中获取token信息。如果缓存中存在有效的token,则直接返回缓存的结果。否则,它会调用默认的NimbusOpaqueTokenIntrospector来从自省端点获取token信息,并将结果存入缓存。
- 缓存过期时间: 使用TouchedExpiryPolicy设置缓存过期时间,每次访问缓存中的数据都会重置过期时间。
3. 配置Spring Security
确保你的Spring Security配置使用自定义的OpaqueTokenIntrospector Bean。
@Configuration @EnableWebSecurity public class SecurityConfig { @Autowired private OpaqueTokenIntrospector introspector; @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authorize -> authorize .requestMatchers("/public/**").permitAll() .anyRequest().authenticated() ) .oauth2ResourceServer(oauth2 -> oauth2 .opaqueToken(opaqueToken -> opaqueToken .introspector(introspector) ) ); return http.build(); } }
注意事项:
- 缓存大小和过期时间: 根据你的应用需求调整缓存的大小和过期时间。 过小的缓存可能导致频繁的自省请求,而过大的缓存可能导致内存占用过高。 过短的过期时间会降低缓存的效率,而过长的过期时间可能导致使用过期的token。
- 缓存失效策略: 根据实际情况选择合适的缓存失效策略。除了TouchedExpiryPolicy,还可以使用其他策略,例如基于时间的过期策略或基于大小的淘汰策略。
- 异常处理: 在生产环境中,需要考虑异常处理,例如当自省端点不可用时,如何处理缓存。
- 缓存技术选型: JCache API 是一种标准化的缓存接口,你可以选择不同的JCache实现,例如Ehcache, Hazelcast等。
总结
通过自定义OpaqueTokenIntrospector并利用缓存机制,可以有效地缓存OAuth2自省请求,从而提高资源服务器的稳定性和性能。 请根据你的应用需求调整缓存配置,并确保在生产环境中进行适当的异常处理。 这个方法可以显著减少对认证服务器的依赖,并提升用户体验。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
