使用State

state使用的流程

在JustAuth中state参数的使用流程如下:

  • 获取authorizeUrl时创建state(开发者创建,如果不创建则系统默认生成)
  • 缓存state(JustAuth执行)
  • 内置的缓存调度器自动清除已过期的state(JustAuth执行)

创建state(开发者)

state在OAuth授权流程中是一个非必要但很重要的参数,就如名词解释中描述的:state是用来保持授权会话流程完整性,防止CSRF攻击的安全的随机的参数,由开发者生成

在JustAuth中提供了一个默认的创建state的方法,使用方式:

  1. String state = AuthStateUtils.createState()

createState的内部实现其实就是生成了一个UUID(采用 jdk 9 的形式,优化性能),该工具是直接copy自micamica是一个SpringBoot微服务高效开发工具集,开源地址:https://github.com/lets-mica/mica),关于mica uuid生成方式的压测结果,可以参考:https://github.com/lets-mica/mica-jmh/wiki/uuid。

除此之外,开发者还可以自己生成特定的state参数。

缓存state(JustAuth)

在JustAuth中,内置了一个基于map的state缓存器,默认缓存有效期为3分钟(缓存配置见AuthCacheConfig.java)。AuthCacheConfig中包含两个配置参数:

  • timeout 缓存过期时间,默认3分钟
  • schedulePrune 是否开启定时清理过期state的任务,默认开启。如果不开启,则需要开发者自己对state做处理,防止map存入过多内容 缓存state的操作是在getRealState中触发的,不需要开发者自己处理
  1. /**
  2.  * 获取state,如果为空, 则默认取当前日期的时间戳
  3.  *
  4.  * @param state 原始的state
  5.  * @return 返回不为null的state
  6.  */
  7. protected String getRealState(String state) {
  8.     if (StringUtils.isEmpty(state)) {
  9.         state = UuidUtils.getUUID();
  10.     }
  11.     // 缓存state
  12.     authStateCache.cache(state, state);
  13.     return state;
  14. }

注:关于自定义缓存,请参考下节内容。

清理state(JustAuth)

JustAuth内置了一个缓存调度器,默认3分钟清理一次过期的state,缓存清理时间可以通过AuthCacheConfig.timeout进行修改,不建议修改太大。