视频看了几百小时还迷糊?关注我,几分钟让你秒懂!(发点评论可以给博主加热度哦)
🌟 一、问题背景:Token 泄露有多危险?
在 OAuth2.0 中,access_token相当于“临时身份证”。一旦泄露,攻击者可:
- 冒充用户调用 API(如删除 GitHub 仓库、读取微信好友);
- 持续访问资源,直到 token 过期;
- 若配合
refresh_token,甚至可长期维持会话。
💥 真实案例:某 App 将 token 存在 localStorage,被 XSS 攻击窃取,导致百万用户数据泄露。
所以,不能只依赖 token 有效期,必须构建多层防御体系!
🔐 二、Spring Boot 中 Token 泄露的常见场景
| 场景 | 风险等级 | 说明 |
|---|---|---|
| 前端明文存储 token(如 localStorage) | ⚠️ 高 | XSS 可直接读取 |
| 日志打印 token | ⚠️ 高 | 开发/运维误操作导致泄露 |
| HTTP 明文传输 | ⚠️ 极高 | 中间人抓包即可获取 |
| refresh_token 未绑定设备/IP | ⚠️ 中 | 被盗后可在任意设备刷新 |
| 未设置 token 绑定(如 User-Agent、IP) | ⚠️ 中 | 缺少上下文校验 |
✅ 三、正例:Spring Boot 安全加固方案(附代码)
✅ 方案 1:后端托管 Token(Web 应用首选)
原则:前端不接触 access_token / refresh_token
Spring Security OAuth2 Client 默认就是这么干的!
// 用户登录后,token 由 Spring Security 自动存储在 HttpSession 或 Redis 中 // 前端只看到 JSESSIONID Cookie(HttpOnly + Secure)✅ 优势:
- Token 不经过浏览器 JS,XSS 无法窃取;
- 由服务端统一管理生命周期。
📌 注意:确保
server.servlet.session.cookie.http-only=true(默认开启)
✅ 方案 2:启用 Token 绑定(Token Binding)
将 token 与用户上下文(如 IP、User-Agent)绑定,即使泄露也无法在其他环境使用。
步骤 1:自定义 OAuth2AuthorizedClientService
@Component public class SecureOAuth2AuthorizedClientService extends InMemoryOAuth2AuthorizedClientService { public SecureOAuth2AuthorizedClientService(ClientRegistrationRepository clientRegistrationRepository) { super(clientRegistrationRepository); } @Override public void saveAuthorizedClient(OAuth2AuthorizedClient authorizedClient, Authentication principal) { // 添加绑定信息到 token 元数据 OAuth2AccessToken accessToken = authorizedClient.getAccessToken(); Map<String, Object> metadata = new HashMap<>(); metadata.put("client_ip", getClientIp()); metadata.put("user_agent", getUserAgent()); // 实际项目建议存入数据库或 Redis,并关联 principal.getName() super.saveAuthorizedClient(authorizedClient, principal); } }步骤 2:拦截请求,校验绑定信息
@Component @Order(Ordered.HIGHEST_PRECEDENCE) public class TokenBindingFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; String currentIp = getClientIp(req); String currentUserAgent = req.getHeader("User-Agent"); // 从 session 或存储中获取原始绑定信息 // 如果 currentIp != originalIp → 拒绝请求,强制重新授权 chain.doFilter(request, response); } }💡 提示:生产环境建议将绑定信息加密存储,并设置容忍阈值(如 IP 变化但 User-Agent 一致可放行)。
✅ 方案 3:缩短 Token 有效期 + 主动吊销
配置短有效期(以 GitHub 为例)
GitHub 的 access_token 默认不过期,但你可以:
- 在业务层设置本地缓存过期时间(如 10 分钟);
- 每次使用前检查是否需刷新。
主动吊销 Token(关键!)
虽然 OAuth2.0 协议本身不强制要求吊销接口,但主流平台支持:
- GitHub:
DELETE https://api.github.com/applications/{client_id}/grant - Google:
https://oauth2.googleapis.com/revoke?token={token}
Spring Boot 中实现吊销:
@RestController public class LogoutController { @Autowired private OAuth2AuthorizedClientService authorizedClientService; @PostMapping("/logout") public ResponseEntity<?> logout(Authentication auth) { if (auth instanceof OAuth2AuthenticationToken) { String registrationId = ((OAuth2AuthenticationToken) auth).getAuthorizedClientRegistrationId(); String principalName = auth.getName(); // 1. 从存储中移除 token authorizedClientService.removeAuthorizedClient(registrationId, principalName); // 2. 【可选】调用第三方平台吊销接口(以 GitHub 为例) revokeGitHubToken(principalName); // 3. 使当前 session 失效 RequestContextHolder.currentRequestAttributes() .getAttribute("session", RequestAttributes.SCOPE_SESSION); // ... invalidate session return ResponseEntity.ok().build(); } return ResponseEntity.badRequest().build(); } private void revokeGitHubToken(String token) { // 使用 RestTemplate 或 WebClient 调用 GitHub 吊销 API // 注意:需要 client_id + client_secret 认证 } }✅ 方案 4:日志脱敏(防止开发误泄露)
@Configuration public class LoggingConfig { @Bean @Primary public ObjectMapper objectMapper() { ObjectMapper mapper = new ObjectMapper(); SimpleModule module = new SimpleModule(); module.addSerializer(OAuth2AccessToken.class, new TokenMaskingSerializer()); mapper.registerModule(module); return mapper; } public static class TokenMaskingSerializer extends JsonSerializer<OAuth2AccessToken> { @Override public void serialize(OAuth2AccessToken token, JsonGenerator gen, SerializerProvider serializers) throws IOException { gen.writeStartObject(); gen.writeStringField("token", "******"); // 掩码 gen.writeEndObject(); } } }这样即使打印了OAuth2AuthorizedClient对象,token 也不会出现在日志中。
❌ 四、反例:这些写法等于“裸奔”!
反例 1:前端直接存储 access_token
// ❌ 千万不要这样做! localStorage.setItem('access_token', response.data.token);✅ 正确做法:Web 应用用 Cookie(HttpOnly)+ Session;纯前端应用用内存存储(页面关闭即失效),并配合 PKCE。
反例 2:日志打印完整 token
log.info("User logged in with token: {}", accessToken.getTokenValue()); // ❌✅ 应脱敏:
log.info("Token issued for user: {}", username);
反例 3:忽略 HTTPS
# application.yml server: port: 8080 # ❌ HTTP 明文传输✅ 生产环境必须配 HTTPS,本地测试可用
localhost(OAuth2 允许 HTTP 仅限 localhost)。
⚠️ 五、注意事项(小白必看)
| 事项 | 说明 |
|---|---|
| 不要自己造轮子 | 优先用 Spring Security OAuth2 Client,它已内置 CSRF、state 防御 |
| refresh_token 更危险 | 必须严格保护,建议加密存储 + 绑定设备指纹 |
| 第三方平台差异大 | 微信、钉钉等可能不支持标准吊销接口,需查文档 |
| 监控异常行为 | 如同一 token 短时间内多地登录,应触发告警或强制登出 |
✅ 六、终极建议:纵深防御策略
- 传输层:强制 HTTPS;
- 存储层:后端托管 token,前端无感知;
- 绑定层:IP/User-Agent/设备指纹绑定;
- 时效层:短 access_token + 受控 refresh_token;
- 审计层:记录 token 使用日志(脱敏);
- 应急层:提供一键吊销接口。
💡 总结
Token 泄露不可完全避免,但通过“最小暴露 + 上下文绑定 + 快速吊销”三板斧,可将风险降到最低。Spring Boot 提供了强大的基础能力,关键在于你是否用对、用足。
视频看了几百小时还迷糊?关注我,几分钟让你秒懂!(发点评论可以给博主加热度哦)
