当前位置：首页 > news >正文

设置 OAuth2 访问令牌的签发时间 (issuedAt) 和过期时间 (expiresAt)

news 来源：原创 2024/9/30 20:29:49

Instant issuedAt = Instant.now();
Instant expiresAt = issuedAt.plus(registeredClient.getTokenSettings().getAccessTokenTimeToLive());

上述代码用于设置OAuth2访问令牌的签发时间和过期时间,主要出现在OAuth2认证和授权过程中,特别是在生成访问令牌时

Instant issuedAt = Instant.now();：

获取当前时间，并将其设置为令牌的签发时间（issuedAt）。

Instant expiresAt = issuedAt.plus(registeredClient.getTokenSettings().getAccessTokenTimeToLive());：

从注册客户端的令牌设置中获取访问令牌的存活时间（AccessTokenTimeToLive）。
将存活时间加到签发时间上，计算出令牌的过期时间（expiresAt）。

使用场景

OAuth2 认证和授权流程：
- 在 OAuth2 认证和授权过程中，当客户端请求访问令牌时，授权服务器会生成一个访问令牌。此时需要确定令牌的签发时间和过期时间，以便设置令牌的有效期。
令牌管理：
- 在生成和管理 OAuth2 访问令牌时，需要准确记录令牌的签发和过期时间，以便在后续的访问控制和授权检查中使用。这有助于确保令牌在其有效期内使用，避免过期令牌的滥用。
安全性要求：
- 设定访问令牌的有效期是安全性的重要一环。通过明确的签发时间和过期时间，可以限制令牌的使用期限，降低令牌被滥用的风险。在过期后，客户端需要重新请求新的令牌，从而提高整体系统的安全性。
自定义令牌生成逻辑：
- 在一些高级应用场景中，可能需要自定义令牌的生成逻辑。例如，在生成 JWT（JSON Web Token）时，需要包含 iat（issued at）和 exp（expiration）字段，以便验证令牌的有效性。

实际应用示例

示例1：OAuth2 认证服务器

在一个 OAuth2 认证服务器中，当用户成功通过身份验证并请求访问令牌时，代码可能如下：

public OAuth2AccessToken generateAccessToken(OAuth2Authentication authentication) {Instant issuedAt = Instant.now();Instant expiresAt = issuedAt.plus(tokenSettings.getAccessTokenTimeToLive());OAuth2AccessToken accessToken = new OAuth2AccessToken(OAuth2AccessToken.TokenType.BEARER,UUID.randomUUID().toString(),issuedAt,expiresAt,authentication.getScope());return accessToken;
}

示例2：自定义令牌生成器

在自定义的令牌生成器中，可以通过注入 RegisteredClient 的设置来定制令牌的有效期：

public class CustomTokenGenerator implements OAuth2TokenGenerator<OAuth2AccessToken> {@Overridepublic OAuth2AccessToken generate(OAuth2TokenContext context) {RegisteredClient registeredClient = context.getRegisteredClient();Instant issuedAt = Instant.now();Instant expiresAt = issuedAt.plus(registeredClient.getTokenSettings().getAccessTokenTimeToLive());return new OAuth2AccessToken(OAuth2AccessToken.TokenType.BEARER,UUID.randomUUID().toString(),issuedAt,expiresAt,context.getAuthorizedScopes());}
}