Micronaut 配置未发出 JWT 刷新令牌

【问题标题】:Micronaut config not issuing a JWT refresh tokenMicronaut 配置未发出 JWT 刷新令牌
【发布时间】:2021-09-17 17:51:33
【问题描述】:

我的application.yml 中有以下配置。根据规范,除了JWT 响应中的访问令牌之外,这应该发出一个刷新令牌,但我只得到访问令牌而不是刷新令牌。

我错过了什么吗?

token:
  jwt:
    signatures:
      secret:
        generator:
          refresh-token:
            secret: "${JWT_GENERATOR_SIGNATURE_SECRET:pleaseChangeThisSecretForANewOne}"  
          secret: "${JWT_GENERATOR_SIGNATURE_SECRET:pleaseChangeThisSecretForANewOne}"

【问题讨论】:

  • 可能是您对某些 micronaut 参数的 yaml 路径错误...这是来自我的 jwt 产品设置,但采用 *.properties 格式 micronaut.security.authentication=bearer micronaut.security.token.jwt.signatures.secret.generator.secret="${JWT_GENERATOR_SIGNATURE_SECRET\:unit_testing_jwt_generator_secret}" micronaut.security.token.jwt.generator.refresh-token.secret="${JWT_GENERATOR_REFRESH_SECRET\:unit_testing_jwt_refresh_secret}" 并且刷新令牌至少应出现在登录端点上(并从变量 micronaut.security.endpoints.oauth.path 刷新端点路径)。

标签: java jwt micronaut


【解决方案1】:

我在 Micronaut v3.1.4 中发现了这个问题。它需要一个实现 RefreshTokenPersistence 的类。这对我有用。

import io.micronaut.security.authentication.Authentication;
import io.micronaut.security.token.event.RefreshTokenGeneratedEvent;
import io.micronaut.security.token.refresh.RefreshTokenPersistence;
import jakarta.inject.Singleton;
import org.reactivestreams.Publisher;

@Singleton
public class CustomRefreshTokenPersistence implements RefreshTokenPersistence {

    @Override
    public void persistToken(final RefreshTokenGeneratedEvent event) {
   
    }

    @Override
    public Publisher<Authentication> getAuthentication(final String refreshToken) {
        return null;
    }
}

【讨论】:

    【解决方案2】:

    您可能缺少RefreshTokenPersistence 的实现。

    我建议您阅读这部分 micronaut 的安全文档:https://micronaut-projects.github.io/micronaut-security/latest/guide/#refresh

    这是持久性单元的一个非常简单的实现。请不要忘记将@Singleton 添加到您的实施中。我完全错过了这一点,这就是为什么 micronaut 最初没有在我自己的项目中生成刷新令牌的原因。

    import io.micronaut.security.authentication.UserDetails;
import io.micronaut.security.token.event.RefreshTokenGeneratedEvent;
import io.micronaut.security.token.refresh.RefreshTokenPersistence;
import io.reactivex.BackpressureStrategy;
import io.reactivex.Flowable;
import org.reactivestreams.Publisher;

import javax.inject.Singleton;
import java.util.HashMap;
import java.util.Map;

@Singleton
public class MyRefreshTokenPersistence implements RefreshTokenPersistence {

    private final Map<String, UserDetails> storage = new HashMap<>();

    @Override
    public void persistToken(RefreshTokenGeneratedEvent event) {
        storage.put(event.getRefreshToken(), event.getUserDetails());
    }

    @Override
    public Publisher<UserDetails> getUserDetails(String refreshToken) {
        return Flowable.create(emitter -> {
            final UserDetails userDetails = storage.get(refreshToken);
            if ( userDetails != null ) {
                emitter.onNext(userDetails);
                emitter.onComplete();
            } else {
                emitter.onError(new IllegalArgumentException("refresh token unknown"));
            }
        }, BackpressureStrategy.BUFFER);
    }
}

    【讨论】:

    • 发布和持久刷新令牌是完全不同的过程。
    • @Leandro Lima 不,你错了。假设认证方式为“承载”。见:AccessRefreshTokenLoginHandler line 54 call to generate &gt; DefaultAccessRefreshTokenGenerator line 95 call to generateRefreshToken &gt; same class line 107if (beanContext.containsBean(RefreshTokenPersistence.class)) { ...。将检查 RefreshTokenPersistence 的存在。
    猜你喜欢
    • 2016-03-05
    • 2016-06-25
    • 1970-01-01
    • 2021-04-06
    • 2017-10-11
    • 2016-10-14
    • 1970-01-01
    • 2018-09-29
    • 2021-06-03
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode