詳解OAuth2 Token 一定要放在請求頭中嗎

更新時間：2020年07月09日 10:19:02 作者：冷冷zz

這篇文章主要介紹了詳解OAuth2 Token 一定要放在請求頭中嗎，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧

Token 一定要放在請求頭中嗎？答案肯定是否定的，本文將從源碼的角度來分享一下 spring security oauth2 的解析過程，及其擴展點的應用場景。

Token 解析過程說明

當我們使用 spring security oauth2 時, 一般情況下需要把認證中心申請的 token 放在請求頭中請求目標接口，如下圖 ①

spring security oauth2 通過攔截器獲取此 token 完成令牌到當前用戶信息（UserDetails）的轉(zhuǎn)換。

OAuth2AuthenticationProcessingFilter.doFilter

public class OAuth2AuthenticationProcessingFilter{
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
			ServletException {
		try {
			// 1. 根據(jù)用戶請求解析令牌，組裝預登陸對象
			Authentication authentication = tokenExtractor.extract(request);
			if (authentication == null) {
				// 若是預登陸狀態(tài)為空，把無狀態(tài)登錄清空
				if (stateless && isAuthenticated()) {
					SecurityContextHolder.clearContext();
				}
			}
			else {
				// 2. 根據(jù)token 來做真正的認證登錄 Provier
				Authentication authResult = authenticationManager.authenticate(authentication);

				// 3. 登錄成功邏輯
				eventPublisher.publishAuthenticationSuccess(authResult);
				SecurityContextHolder.getContext().setAuthentication(authResult);
			}
		}
		catch (OAuth2Exception failed) {
      // 異常通知邏輯 Spring Event
			...
			return;
		}
		chain.doFilter(request, response);
	}
}

我們主要來關注第一步根據(jù)用戶請求解析令牌，組裝預登陸對象

來看默認實現(xiàn) BearerTokenExtractor

public class BearerTokenExtractor implements TokenExtractor {
	@Override
	public Authentication extract(HttpServletRequest request) {
		// 1. 解析token
		String tokenValue = extractToken(request);
		if (tokenValue != null) {
			// 2. 創(chuàng)建一個authentication 返回
			PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, "");
			return authentication;
		}
		return null;
	}

	protected String extractToken(HttpServletRequest request) {
		// 1.1 優(yōu)先從請求header 獲取token
		String token = extractHeaderToken(request);
		// 1.2 若是請求token 中沒有，則獲取請求參數(shù)中的 access_token 參數(shù)
		if (token == null) {
			token = request.getParameter(OAuth2AccessToken.ACCESS_TOKEN);
		}
		return token;
	}
}

擴展點

豐富獲取 token 渠道，個性化處理.例如掘金的 X-Legacy-Token 而非必須是 Authorization