Spring BootとOAuth2でバックエンドを開発しているときに、同じ問題に出くわしました。私が遭遇した問題は、複数のデバイスが同じトークンを共有する場合、1つのデバイスがトークンを更新すると、他のデバイスは無知になり、要するに、両方のデバイスがトークンを更新するという狂気になります。私の解決策は、デフォルトAuthenticationKeyGenerator
をキージェネレーター混合のDefaultAuthenticationKeyGenerator
新しいパラメーターをオーバーライドして追加するカスタム実装で置き換えることでしたclient_instance_id
。モバイルクライアントは、アプリのインストール(iOSまたはAndroid)全体で一意である必要があるこのパラメーターを送信します。ほとんどのモバイルアプリは既に何らかの形でアプリケーションインスタンスを追跡しているため、これは特別な要件ではありません。
public class EnhancedAuthenticationKeyGenerator extends DefaultAuthenticationKeyGenerator {
public static final String PARAM_CLIENT_INSTANCE_ID = "client_instance_id";
private static final String KEY_SUPER_KEY = "super_key";
private static final String KEY_CLIENT_INSTANCE_ID = PARAM_CLIENT_INSTANCE_ID;
@Override
public String extractKey(final OAuth2Authentication authentication) {
final String superKey = super.extractKey(authentication);
final OAuth2Request authorizationRequest = authentication.getOAuth2Request();
final Map<String, String> requestParameters = authorizationRequest.getRequestParameters();
final String clientInstanceId = requestParameters != null ? requestParameters.get(PARAM_CLIENT_INSTANCE_ID) : null;
if (clientInstanceId == null || clientInstanceId.length() == 0) {
return superKey;
}
final Map<String, String> values = new LinkedHashMap<>(2);
values.put(KEY_SUPER_KEY, superKey);
values.put(KEY_CLIENT_INSTANCE_ID, clientInstanceId);
return generateKey(values);
}
}
同様の方法で注入します:
final JdbcTokenStore tokenStore = new JdbcTokenStore(mDataSource);
tokenStore.setAuthenticationKeyGenerator(new EnhancedAuthenticationKeyGenerator());
HTTPリクエストは次のようになります
POST /oauth/token HTTP/1.1
Host: {{host}}
Authorization: Basic {{auth_client_basic}}
Content-Type: application/x-www-form-urlencoded
grant_type=password&username={{username}}&password={{password}}&client_instance_id={{instance_id}}
このアプローチを使用する利点は、クライアントがを送信しない場合、client_instance_id
デフォルトのキーが生成され、インスタンスが提供される場合、同じインスタンスに対して毎回同じキーが返されることです。また、キーはプラットフォームに依存しません。欠点は、MD5ダイジェスト(内部で使用)が2回呼び出されることです。