如何在 Spring Security 中刷新令牌答案

【问题标题】：How can I refresh tokens in Spring security如何在 Spring Security 中刷新令牌
【发布时间】：2020-12-05 03:26:18
【问题描述】：

这一行：

Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();

当我的 jwt 令牌过期时抛出这样的错误：

JWT 于 2020-05-13T07:50:39Z 过期。当前时间： 2020-05-16T21:29:41Z.

更具体地说，正是这个函数引发了“ExpiredJwtException”异常：

我该如何处理这些异常？我应该抓住他们并向客户发送错误消息并强制他们重新登录吗？

如何实现刷新令牌功能？我在后端使用 Spring 和 mysql，在前端使用 vuejs。

我像这样生成初始令牌：

   @Override
        public JSONObject login(AuthenticationRequest authreq) {
            JSONObject json = new JSONObject();
    
            try {
                Authentication authentication = authenticationManager.authenticate(
                        new UsernamePasswordAuthenticationToken(authreq.getUsername(), authreq.getPassword()));
    
                UserDetailsImpl userDetails = (UserDetailsImpl) authentication.getPrincipal();
                List<String> roles = userDetails.getAuthorities().stream().map(item -> item.getAuthority())
                        .collect(Collectors.toList());
    
                if (userDetails != null) {
    
                    final String jwt = jwtTokenUtil.generateToken(userDetails);
    
    
                    JwtResponse jwtres = new JwtResponse(jwt, userDetails.getId(), userDetails.getUsername(),
                            userDetails.getEmail(), roles, jwtTokenUtil.extractExpiration(jwt).toString());
    
                    return json.put("jwtresponse", jwtres);
                }
            } catch (BadCredentialsException ex) {
                json.put("status", "badcredentials");
            } catch (LockedException ex) {
                json.put("status", "LockedException");
            } catch (DisabledException ex) {
                json.put("status", "DisabledException");
            }
    
            return json;
        }

然后在 JwtUtil 类中：

   public String generateToken(UserDetails userDetails) {
            Map<String, Object> claims = new HashMap<>();
            return createToken(claims, userDetails.getUsername());
        }
    
   private String createToken(Map<String, Object> claims, String subject) {
            return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(new Date(System.currentTimeMillis()))
                    .setExpiration(new Date(System.currentTimeMillis() + EXPIRESIN))
                    .signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();
        }

更多信息，这里是过滤每个请求的 doFilterInternal 函数：

   @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException, ExpiredJwtException, MalformedJwtException {

        try {

            final String authorizationHeader = request.getHeader("Authorization");

            String username = null;
            String jwt = null;

            if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
                jwt = authorizationHeader.substring(7);
                username = jwtUtil.extractUsername(jwt);
            }

            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                UserDetails userDetails = userService.loadUserByUsername(username);

                boolean correct = jwtUtil.validateToken(jwt, userDetails);

                if (correct) {
                    UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
                            userDetails, null, userDetails.getAuthorities());

                    usernamePasswordAuthenticationToken
                            .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);

                }
            }

            chain.doFilter(request, response);
        } catch (ExpiredJwtException ex) {
            resolver.resolveException(request, response, null, ex);
        }
    }

【问题讨论】：

这可能会有所帮助：请阅读：JWTs_Refresh_tokens
我的前端应用程序中是否需要一个中间件来实现这样的功能？
有几种方法可以做到这一点。你是如何生成“初始”JWT 的？
我在用户登录时生成令牌。我编辑了答案，以便您可以看到我生成令牌的代码。

标签： spring spring-security jwt access-token refresh-token

【解决方案1】：

您可以调用API获取刷新令牌，如下所示

POST https://yourdomain.com/oauth/token 

Header
  "Authorization": "Basic [base64encode(clientId:clientSecret)]" 

Parameters
  "grant_type": "refresh_token"
  "refresh_token": "[yourRefreshToken]"

请注意，

base64encode 是加密客户端授权的方法。您可以在线使用https://www.base64encode.org/
refresh_token 是 grant_type 的字符串值
yourRefreshToken 是与 JWT 访问令牌 一起收到的 刷新令牌

结果可以看成

{
    "token_type":"bearer",
    "access_token":"eyJ0eXAiOiJK.iLCJpYXQiO.Dww7TC9xu_2s",
    "expires_in":20,
    "refresh_token":"7fd15938c823cf58e78019bea2af142f9449696a"
}

祝你好运。

【讨论】：

感谢您的回答。如果我成功实施，我会通知您。
只有在您的项目中包含 Oauth 集成时才有效：spring-security-oauth2、spring-cloud-starter-oauth2 等不是您的情况，因为考虑到提供的信息和代码，如果您已包含其中任何一个，你都没有真正使用它。
是的，绝对是@AlexandrosKourtis。在我们不使用 Spring Security OAuth2 的情况下，我们可以构建自己的端点进行刷新。例如 /refresh/token 并通过验证刷新令牌对登录执行相同的操作。过程几乎是一样的。干杯。
感谢@QuocTruong 的帮助...最后，我使用刷新和访问令牌做到了，因为我选择的库不支持仅使用访问令牌的方法。这比我想象的要容易得多
刷新请求中的授权标头必须是“基本”而不是“承载”。

【解决方案2】：

有两种主要的方法来处理这种情况：

管理访问和刷新令牌

在这种情况下，流程如下：

用户登录应用程序（包括username和password）
您的后端应用程序返回任何所需的凭据信息，并且：

2.1 访问 JWT 令牌，过期时间通常为“低”（15、30 分钟等）。

2.2 刷新 JWT 令牌，过期时间大于访问时间。
从现在开始，您的前端应用程序将在每个请求的 Authorization 标头中使用 access token。

当后端返回401 时，前端应用程序将尝试使用refresh token（使用特定端点）获取新凭据，而不强制用户再次登录。

Refresh token flow （这只是一个例子，通常只发送刷新令牌）

如果没有问题，那么用户将能够继续使用该应用程序。如果后端返回一个新的401 => 前端应该重定向到登录页面。

只管理一个 Jwt 令牌

在这种情况下，流程与上一个类似，您可以创建自己的端点来处理这种情况：/auth/token/extend（例如），包括过期的 Jwt 作为请求的参数。

现在由您来管理：

过期的 Jwt 令牌将“有效”多长时间才能延长它？

新端点将具有与上一节中类似的刷新行为，我的意思是，将返回一个新的 Jwt 令牌或401，因此，从前端的角度来看，流程将是相同的。

一个重要的事情，独立于您要遵循的方法，“新端点”应该从所需的 Spring 身份验证端点中排除，因为您将自己管理安全性：

public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
  ..

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.
      ..
      .authorizeRequests()
      // List of services do not require authentication
      .antMatchers(Rest Operator, "MyEndpointToRefreshOrExtendToken").permitAll()
      // Any other request must be authenticated
      .anyRequest().authenticated()
      ..
   }
}

【讨论】：

What do you mean that I will manage the security by myself? 以与您在login 端点中管理安全性相同的方式，考虑到提供的AuthenticationRequest 对象，您必须对验证提供的@ 的新端点执行相同的操作987654335@：有效吗？过期时间“太旧”了吗？
When you say excluded from required Spring authenticated endpoints, do you mean making it a route that is not protected? 是的，同样的，你已经用你的login 端点做到了。
...I made it so the jwt token lasts for about 7 days... the front end will request a new token be generated... I feel like it is not a very "standard" way... ，不，因为您在前端“硬编码”了应该请求新令牌的时间间隔。我建议您的方法更合适，因为它可以在不考虑用户登录时间的情况下工作。如果适合您的情况，您可以增加 Jwt 令牌的到期时间。
I did that but every time but I could not set a new date for the token because it would throw an exception，不确定您是如何在项目中配置 Spring 安全性的，但是，如果您在允许的请求中包含“新提议的端点”，您将能够管理提供的 Jwt令牌“是否允许扩展”。在这种情况下，根据您使用的 Jwt 库，可能必须考虑一些不同的用例：例如，当令牌有效但已过期时，我必须管理的异常是什么。
Or, you handle the token before it expires. Is this correct? => 使用这种方法，您正在开发一个“ping 端点”，这意味着前端将每“X 天”发送一个真正不需要的请求来“刷新”Jwt 令牌。如果您更喜欢这种方法，好的，这是开发人员的决定。就我个人而言，我更喜欢在必要时只请求“必需的”。