詳解OAuth2 Token 一定要放在請求頭中嗎
Token 一定要放在請求頭中嗎? 答案肯定是否定的,本文將從源碼的角度來分享一下 spring security oauth2 的解析過程,及其擴展點的應用場景。
Token 解析過程說明
當我們使用 spring security oauth2 時, 一般情況下需要把認證中心申請的 token 放在請求頭中請求目標接口,如下圖 ①
spring security oauth2 通過攔截器獲取此 token 完成令牌到當前用戶信息(UserDetails)的轉(zhuǎn)換。
OAuth2AuthenticationProcessingFilter.doFilter
public class OAuth2AuthenticationProcessingFilter{ public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { try { // 1. 根據(jù)用戶請求解析令牌,組裝預登陸對象 Authentication authentication = tokenExtractor.extract(request); if (authentication == null) { // 若是預登陸狀態(tài)為空,把無狀態(tài)登錄清空 if (stateless && isAuthenticated()) { SecurityContextHolder.clearContext(); } } else { // 2. 根據(jù)token 來做真正的認證登錄 Provier Authentication authResult = authenticationManager.authenticate(authentication); // 3. 登錄成功邏輯 eventPublisher.publishAuthenticationSuccess(authResult); SecurityContextHolder.getContext().setAuthentication(authResult); } } catch (OAuth2Exception failed) { // 異常通知邏輯 Spring Event ... return; } chain.doFilter(request, response); } }
我們主要來關注第一步 根據(jù)用戶請求解析令牌,組裝預登陸對象
來看默認實現(xiàn) BearerTokenExtractor
public class BearerTokenExtractor implements TokenExtractor { @Override public Authentication extract(HttpServletRequest request) { // 1. 解析token String tokenValue = extractToken(request); if (tokenValue != null) { // 2. 創(chuàng)建一個authentication 返回 PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, ""); return authentication; } return null; } protected String extractToken(HttpServletRequest request) { // 1.1 優(yōu)先從請求header 獲取token String token = extractHeaderToken(request); // 1.2 若是請求token 中沒有,則獲取請求參數(shù)中的 access_token 參數(shù) if (token == null) { token = request.getParameter(OAuth2AccessToken.ACCESS_TOKEN); } return token; } }
擴展點
豐富獲取 token 渠道,個性化處理.例如掘金的 X-Legacy-Token 而非必須是 Authorization
請求參數(shù)中攜帶 access_token 參數(shù)也能被正確解析處理
重寫 BearerTokenExtractor 解決,若請求攜帶 token 無論接口是否被設置 permitAll 都會被攔截判斷的問題
項目推薦: Spring Cloud 、Spring Security OAuth2的RBAC權限管理系統(tǒng)
到此這篇關于詳解OAuth2 Token 一定要放在請求頭中嗎的文章就介紹到這了,更多相關OAuth2 Token 請求頭內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家!
相關文章
java異步執(zhí)行代碼處理方法(先返回結(jié)果,后執(zhí)行代碼)
這篇文章主要給大家介紹了關于java異步執(zhí)行代碼處理方法的相關資料,先返回結(jié)果,后執(zhí)行代碼,文中通過實例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考借鑒價值,需要的朋友可以參考下2023-07-07Spring Data JPA實現(xiàn)動態(tài)查詢的兩種方法
本篇文章主要介紹了Spring Data JPA實現(xiàn)動態(tài)查詢的兩種方法,具有一定的參考價值,有興趣的可以了解一下。2017-04-04Spring事件監(jiān)聽器ApplicationListener源碼詳解
這篇文章主要介紹了Spring事件監(jiān)聽器ApplicationListener源碼詳解,ApplicationEvent以及Listener是Spring為我們提供的一個事件監(jiān)聽、訂閱的實現(xiàn),內(nèi)部實現(xiàn)原理是觀察者設計模式,需要的朋友可以參考下2023-05-05