Spring Authorization Server优化篇:持久化JWKSource,解决重启后无法解析AccessToken问题

问题描述

自从第二章将认证服务搭建起来以后就很少更改基础配置了,直到今天有位读者提了一个问题,对我发出了灵魂拷问:重启后jwks的配置发生了变化,无法正确解析token,那Auth服务重启后有办法规避这种情况吗?假如生产环境这样,服务重新部署后之前所有登录的用户必须重新登陆。原问题见下方附图
Spring Authorization Server优化篇:持久化JWKSource,解决重启后无法解析AccessToken问题_第1张图片

解决方案分析

当时本人想到的是将生成的JWKSource保存至redis,每次重启从redis中获取,这样不管重不重启生成的都是同一个,也就不会出现服务重启后无法解析在有效期内的AccessToken问题了,但是又怕不能序列化,就去查看代码了,最终功夫不负有心人,经过一番查找后发现最主要的配置是来自JWKSet的实例,在JWKSet找到了toString方法和对应的parse方法,toString方法是将jwks的信息转为json字符串,而parse就是读取并解析json字符串,将其转为JWKSet实例

JWKSet中的toString方法

Spring Authorization Server优化篇:持久化JWKSource,解决重启后无法解析AccessToken问题_第2张图片

方法内部将jwks转为一个json字符串返回

JWKSet中的parse方法

Spring Authorization Server优化篇:持久化JWKSource,解决重启后无法解析AccessToken问题_第3张图片

方法内部根据给定的字符串解析并返回一个JWKSet。

编码解决问题

根据上边的分析得出解决方案,在配置JWKSource之前先从redis中尝试获取一下,获取不到就生成并存入redis;获取到直接解析并生成一个JWKSet;修改AuthorizationConfig类中的JWKSource配置,如下所示

/**
 * 配置jwk源,使用非对称加密,公开用于检索匹配指定选择器的JWK的方法
 *
 * @return JWKSource
 */
@Bean
@SneakyThrows
public JWKSource<SecurityContext> jwkSource() {
    // 先从redis获取
    String jwkSetCache = redisOperator.get(RedisConstants.AUTHORIZATION_JWS_PREFIX_KEY);
    if (ObjectUtils.isEmpty(jwkSetCache)) {
        KeyPair keyPair = generateRsaKey();
        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
        RSAKey rsaKey = new RSAKey.Builder(publicKey)
                .privateKey(privateKey)
                .keyID(UUID.randomUUID().toString())
                .build();
        // 生成jws
        JWKSet jwkSet = new JWKSet(rsaKey);
        // 转为json字符串
        String jwkSetString = jwkSet.toString(Boolean.FALSE);
        // 存入redis
        redisOperator.set(RedisConstants.AUTHORIZATION_JWS_PREFIX_KEY, jwkSetString);
        return new ImmutableJWKSet<>(jwkSet);
    }
    // 解析存储的jws
    JWKSet jwkSet = JWKSet.parse(jwkSetCache);
    return new ImmutableJWKSet<>(jwkSet);
}

附一下RedisConstants类中的AUTHORIZATION_JWS_PREFIX_KEY常量

/**
 * jwk set缓存前缀
 */
public static final String AUTHORIZATION_JWS_PREFIX_KEY = "authorization_jws";

修改配置后启动认证服务,使用oauth2的几种方式获取一下token,然后重启服务携带token请求一下看看认证服务能否解析AccessToken,如果有什么问题可以在评论区中提出。

代码已提交至Gitee

你可能感兴趣的:(Spring,Authorization,Server,Spring,Security,Spring,spring,安全)