当前位置：首页 > 文章列表 > 文章 > java教程 > SpringSecurity缓存自省请求方法解析

SpringSecurity缓存自省请求方法解析

2025-08-30 14:00:37 0浏览收藏

推广推荐

支持 PC / 移动端，安全直达

小伙伴们对文章编程感兴趣吗？是否正在学习相关知识点？如果是，那么本文《Spring Security缓存自省请求方法》，就很适合你，本篇文章讲解的知识点主要包括。在之后的文章中也会多多分享相关知识点，希望对大家的知识积累有所帮助！

如何在Spring Security中缓存自省请求

本文档旨在指导开发者如何在Spring Security中缓存OAuth2自省请求，以提高资源服务器的稳定性和性能，减少对认证服务器的依赖。通过自定义OpaqueTokenIntrospector并利用缓存机制，可以有效降低401错误，提升用户体验。本文将提供详细的代码示例和步骤说明，帮助你轻松实现自省请求的缓存。

在使用Spring Security构建OAuth2资源服务器时，经常需要通过自省端点验证令牌的有效性。当认证服务器不稳定时，频繁的自省请求可能导致资源服务器出现大量401错误。为了解决这个问题，我们可以通过缓存自省请求的结果来减少对认证服务器的依赖。

以下是如何实现这一目标的步骤：

1. 暴露OpaqueTokenIntrospector Bean

首先，需要在Spring Security配置中暴露一个OpaqueTokenIntrospector类型的Bean。这将允许我们自定义自省逻辑。

@Configuration
public class SecurityConfig {

    @Value("${spring.security.oauth2.resourceserver.opaquetoken.introspection-uri}")
    private String introspectionUri;

    @Value("${spring.security.oauth2.resourceserver.opaquetoken.client-id}")
    private String clientId;

    @Value("${spring.security.oauth2.resourceserver.opaquetoken.client-secret}")
    private String clientSecret;

    @Bean
    public OpaqueTokenIntrospector introspector() {
        return new CustomOpaqueTokenIntrospector(this.introspectionUri, this.clientId, this.clientSecret);
    }

    // 其他配置...
}

2. 创建自定义的OpaqueTokenIntrospector

接下来，创建一个自定义的OpaqueTokenIntrospector类，该类将负责缓存自省请求的结果。

import org.springframework.security.oauth2.core.OAuth2AuthenticatedPrincipal;
import org.springframework.security.oauth2.server.resource.introspection.NimbusOpaqueTokenIntrospector;
import org.springframework.security.oauth2.server.resource.introspection.OpaqueTokenIntrospector;

import javax.cache.Cache;
import javax.cache.CacheManager;
import javax.cache.Caching;
import javax.cache.configuration.MutableConfiguration;
import javax.cache.expiry.Duration;
import javax.cache.expiry.TouchedExpiryPolicy;
import javax.cache.spi.CachingProvider;

import java.time.Instant;

public class CustomOpaqueTokenIntrospector implements OpaqueTokenIntrospector {

    private final OpaqueTokenIntrospector introspector;
    private final Cache<String, OAuth2AuthenticatedPrincipal> accessTokenCache;

    public CustomOpaqueTokenIntrospector(String uri, String clientId, String clientSecret) {
        this.introspector = new NimbusOpaqueTokenIntrospector(uri, clientId, clientSecret);

        CachingProvider cachingProvider = Caching.getCachingProvider();
        CacheManager cacheManager = cachingProvider.getCacheManager();

        MutableConfiguration<String, OAuth2AuthenticatedPrincipal> configuration =
                new MutableConfiguration<String, OAuth2AuthenticatedPrincipal>()
                        .setTypes(String.class, OAuth2AuthenticatedPrincipal.class)
                        .setExpiryPolicyFactory(TouchedExpiryPolicy.factoryOf(Duration.ofSeconds(1800))) // 设置缓存过期时间为30分钟
                        .setStoreByValue(false);

        accessTokenCache = cacheManager.createCache("accessTokenCache", configuration);
    }

    @Override
    public OAuth2AuthenticatedPrincipal introspect(String token) {
        OAuth2AuthenticatedPrincipal principal = accessTokenCache.get(token);

        if (principal != null) {
            // 检查token是否过期
            if (principal.getAttribute("exp") != null
                    && ((Instant) principal.getAttribute("exp")).isAfter(Instant.now())) {
                return principal; // 从缓存返回
            } else {
                accessTokenCache.remove(token); // 如果token已过期，则从缓存中移除
            }
        }

        // 从自省端点获取token信息
        principal = introspector.introspect(token);
        accessTokenCache.put(token, principal); // 将结果放入缓存

        return principal;
    }
}

代码解释:

CustomOpaqueTokenIntrospector: 实现了OpaqueTokenIntrospector接口，用于自定义令牌自省逻辑。
NimbusOpaqueTokenIntrospector: Spring Security提供的默认OpaqueTokenIntrospector实现，用于与自省端点通信。
accessTokenCache: 使用JCache API 创建的缓存，用于存储token和对应的OAuth2AuthenticatedPrincipal。
introspect(String token): 该方法首先尝试从缓存中获取token信息。如果缓存中存在有效的token，则直接返回缓存的结果。否则，它会调用默认的NimbusOpaqueTokenIntrospector来从自省端点获取token信息，并将结果存入缓存。
缓存过期时间: 使用TouchedExpiryPolicy设置缓存过期时间，每次访问缓存中的数据都会重置过期时间。

3. 配置Spring Security

确保你的Spring Security配置使用自定义的OpaqueTokenIntrospector Bean。

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Autowired
    private OpaqueTokenIntrospector introspector;

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                .authorizeHttpRequests(authorize -> authorize
                        .requestMatchers("/public/**").permitAll()
                        .anyRequest().authenticated()
                )
                .oauth2ResourceServer(oauth2 -> oauth2
                        .opaqueToken(opaqueToken -> opaqueToken
                                .introspector(introspector)
                        )
                );
        return http.build();
    }
}

注意事项:

缓存大小和过期时间: 根据你的应用需求调整缓存的大小和过期时间。过小的缓存可能导致频繁的自省请求，而过大的缓存可能导致内存占用过高。过短的过期时间会降低缓存的效率，而过长的过期时间可能导致使用过期的token。
缓存失效策略: 根据实际情况选择合适的缓存失效策略。除了TouchedExpiryPolicy，还可以使用其他策略，例如基于时间的过期策略或基于大小的淘汰策略。
异常处理: 在生产环境中，需要考虑异常处理，例如当自省端点不可用时，如何处理缓存。
缓存技术选型: JCache API 是一种标准化的缓存接口，你可以选择不同的JCache实现，例如Ehcache, Hazelcast等。

总结

通过自定义OpaqueTokenIntrospector并利用缓存机制，可以有效地缓存OAuth2自省请求，从而提高资源服务器的稳定性和性能。请根据你的应用需求调整缓存配置，并确保在生产环境中进行适当的异常处理。这个方法可以显著减少对认证服务器的依赖，并提升用户体验。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。