是否在oauth上缓存访问令牌?

时间:2015-12-15 17:58:54

标签: java oauth

我目前正在使用oauth2与Google实施身份验证。

我已经读过我应该稍后缓存访问令牌,但是我真的需要这样做吗?

我考虑过在会话中加密加密。如果它到期,我将获得一个新令牌。

此外,如果我需要缓存令牌,我怎么知道它属于哪个用户?

2 个答案:

答案 0 :(得分:3)

  

我已经读过我应该为以后缓存访问令牌,但是我会这样做   真的需要这样做吗?

是的,OAuth的目标是什么。需要访问令牌才能让您的应用程序访问服务提供商的资源,而无需每次都提供用户名和密码。

  

我考虑过在会话中加密加密。如果它   到期,我会得到一个新的令牌。

看起来你把事情搞混了。会话和访问令牌的到期是不同的事情。访问令牌通常具有比会话更长的生命周期(例如令牌:60分钟与会话:15分钟)。

如果访问令牌过期,则需要刷新令牌才能获得新的访问令牌。如果您没有刷新令牌,则必须再次启动授权流以获取新的访问令牌。

  

此外,如果我需要缓存令牌,我如何知道它是哪个用户   属于?

您有责任在某个地方维护数据库中的连接。服务提供商(在您的情况下为Google)在其结尾处执行相同操作,以便将访问令牌与用户/资源相匹配。关于你的第二点:你还应该存储刷新令牌。

我建议你在这里阅读:Why is OAuth designed to have request token and access token?

答案 1 :(得分:1)

你绝对应该缓存你的访问权限。生成访问令牌是昂贵的,并且通常它们具有相对较长的到期时间,因此它们可以多次重复使用,从而避免每次都使用新请求轰炸auth服务器。

举个例子,这是Scala中一个非常简单的缓存实现。实现oauth操作的类(getToken,refreshToken等)

class authHandler private(serviceURL: java.net.URL) {

  def getToken(clientId: String,
               clientSecret: String,
               scope: String,
               resource: String = ""): Future[String] = {

    val cacheKey = clientId + scope

    S2SAuthHandler.getTokenFromCache(cacheKey) match {
      case Some(tk) => Future(tk)
      case None => requestTokenFromServer(clientId, clientSecret, scope, resource)
    }
  }

  private def requestTokenFromServer(clientId: String,
                                     clientSecret: String,
                                     scope: String,
                                     resource: String): Future[String] = {

        val authToken = <http request from server>

//expiration time is set to a few seconds less than the one provided from the server, to avoid returning an already expired token. 
        authToken.expires = authToken.expires - 5 + System.currentTimeMillis() / 1000  S2SAuthHandler.storeTokenToCache(clientId + scope, authToken)


    authToken.accessToken      
    }
}

和一个配套对象,实现缓存。 Scala中的伴随对象是静态的,因此您可以创建oauth处理程序类的任意数量的实例,仍然可以使用一个全局缓存。

缓存是一个简单的映射[key,token],其中键可以是&#34; clientId + scope&#34;。您希望为每个客户端和范围存储不同的令牌。令牌应包含访问令牌本身,加上刷新令牌(如果可用),到期时间等。

/** Companion objec  */
object authHandler {

  private val tokenCache = mutable.Map.empty[String, AuthToken]

  private def getTokenFromCache(cacheKey: String): Option[String] = {
    if ((tokenCache contains cacheKey) && (tokenCache(cacheKey).expires > System.currentTimeMillis / 1000)) {
      Some(tokenCache(cacheKey).accessToken)
    }
    else {
      None
    }
  }

  private def storeTokenToCache(key: String, tk: AuthToken) = {
    tokenCache(key) = tk

//Depending on your execution environment, I would recommend to encrypt the token before storing in the cache
   }
}
相关问题
最新问题