使用Spring OAuth2的Springboot

Question

我正在使用帶有JDBC客戶端支持的Spring Boot和Spring Security OAuth在我的應用程序上實現OAuth2。

我可以生成令牌，當我向http：// localhost：8080 / oauth / token發出POST請求時，得到如下有效響應：

{
    "access_token": "359e93b2-555a-477b-9a65-e5062314fc23",
    "token_type": "bearer",
    "refresh_token": "6fd1ae31-8129-4729-a86b-e756c453a58a",
    "expires_in": 899,
    "scope": "read"
}

現在奇怪的是，我無法在數據庫中的任何地方找到此令牌。 如果我再次向/ oauth / token發出請求，則會得到相同的令牌，但是expires_in值比預期的要低。 我得出的結論是，此令牌信息必須存儲在某個位置，但找不到。

01:24:41    SELECT * FROM dummy.oauth_access_token LIMIT 0, 1000    0 row(s) returned   0.000 sec / 0.000 sec

除oauth_client_details外，所有與OAuth相關的表都是空的，該表具有用於生成令牌的客戶端詳細信息。

這是我的代碼。

AuthServerOAuth2Config

@Configuration
public class AuthServerOAuth2Config extends AuthorizationServerConfigurerAdapter {

    private final AuthenticationManager authenticationManager;
    private final AppConfig appConfig;

    @Autowired
    public AuthServerOAuth2Config(AuthenticationManager authenticationManager, AppConfig appConfig) {
        this.authenticationManager = authenticationManager;
        this.appConfig = appConfig;
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(appConfig.dataSource());
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.checkTokenAccess("permitAll()");
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManager);
    }
}

AppConfig類別

@Configuration
@PropertySource(value = "classpath:application.properties")
public class AppConfig {

    @Value("${spring.datasource.url}")
    private String datasourceUrl;

    @Value("${spring.database.driverClassName}")
    private String dbDriverClassName;

    @Value("${spring.datasource.username}")
    private String dbUsername;

    @Value("${spring.datasource.password}")
    private String dbPassword;

    @Bean
    public DataSource dataSource() {
        final DriverManagerDataSource dataSource = new DriverManagerDataSource();

        dataSource.setDriverClassName(dbDriverClassName);
        dataSource.setUrl(datasourceUrl);
        dataSource.setUsername(dbUsername);
        dataSource.setPassword(dbPassword);

        return dataSource;
    }

    @Bean
    public TokenStore tokenStore() {
        return new JdbcTokenStore(dataSource());
    }
}

這是我的pom.xml，以幫助查找為什么在數據庫中沒有持久化令牌的情況。

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>1.5.6.RELEASE</version>
    <relativePath/>
    <!-- lookup parent from repository -->
</parent>
<properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
    <java.version>1.8</java.version>
    <!-- Defining which version of Spring Framework we are using -->
    <spring-cloud.version>Dalston.SR1</spring-cloud.version>
</properties>

<dependencies>
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-actuator</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-data-jpa</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-oauth2</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-aws-context</artifactId>
    </dependency>
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-api</artifactId>
    </dependency>
    <dependency>
        <groupId>ch.qos.logback</groupId>
        <artifactId>logback-classic</artifactId>
    </dependency>
    <dependency>
        <groupId>io.springfox</groupId>
        <artifactId>springfox-swagger2</artifactId>
        <version>2.6.1</version>
    </dependency>
    <dependency>
        <groupId>io.springfox</groupId>
        <artifactId>springfox-swagger-ui</artifactId>
        <version>2.4.0</version>
    </dependency>
    <dependency>
        <groupId>javax.validation</groupId>
        <artifactId>validation-api</artifactId>
    </dependency>
</dependencies>

我的問題是，為什么生成的令牌不能持久保存到mysql數據庫中，我該如何解決呢？

Answer 1

Spring Security OAuth 2默認情況下使用令牌存儲的內存實現，請參閱《 OAuth 2開發人員指南》 ：

在創建AuthorizationServerTokenServices實現時，您可能要考慮使用DefaultTokenServices ，它可以插入許多策略來更改訪問令牌的格式和存儲。 默認情況下，它通過隨機值創建令牌並處理所有TokenStore除了將其委托給TokenStore的令牌的持久性TokenStore 。 默認存儲是內存中的實現，但是還有其他一些可用的實現。 這是對它們的討論的描述

• 默認的InMemoryTokenStore非常適合單個服務器（例如，低流量，並且在發生故障的情況下不與備份服務器進行熱交換）。 大多數項目都可以從此處開始，並且可以在開發模式下以這種方式運行，從而可以輕松啟動沒有依賴性的服務器。

您可以使用AuthorizationServerEndpointsConfigurer#tokenStore更改令牌存儲的使用實現。

修改后的授權服務器端點配置：

@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    endpoints
         .authenticationManager(authenticationManager)
         .tokenStore(appConfig.tokenStore());
}

Answer 2

默認情況下，配置了內存中令牌存儲。 如果要在兩次重啟之間保留令牌，則需要配置一個永久令牌存儲​​。

請找到以下工作示例。 ： https : //github.com/spring-projects/spring-security-oauth/tree/master/tests/annotation/jdbc