美文网首页Java编程
OAuth2 Token 一定要放在请求头中吗?

OAuth2 Token 一定要放在请求头中吗?

作者: 冷冷zz | 来源:发表于2020-06-28 16:16 被阅读0次

    Token 一定要放在请求头中吗? 答案肯定是否定的,本文将从源码的角度来分享一下 spring security oauth2 的解析过程,及其扩展点的应用场景。

    Token 解析过程说明

    当我们使用 spring security oauth2 时, 一般情况下需要把认证中心申请的 token 放在请求头中请求目标接口,如下图 ①

    spring security oauth2 通过拦截器获取此 token 完成令牌到当前用户信息(UserDetails)的转换。

    • OAuth2AuthenticationProcessingFilter.doFilter
    public class OAuth2AuthenticationProcessingFilter{
        public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
                ServletException {
            try {
                // 1. 根据用户请求解析令牌,组装预登陆对象
                Authentication authentication = tokenExtractor.extract(request);
                if (authentication == null) {
                    // 若是预登陆状态为空,把无状态登录清空
                    if (stateless && isAuthenticated()) {
                        SecurityContextHolder.clearContext();
                    }
                }
                else {
                    // 2. 根据token 来做真正的认证登录 Provier
                    Authentication authResult = authenticationManager.authenticate(authentication);
    
                    // 3. 登录成功逻辑
                    eventPublisher.publishAuthenticationSuccess(authResult);
                    SecurityContextHolder.getContext().setAuthentication(authResult);
                }
            }
            catch (OAuth2Exception failed) {
                // 异常通知逻辑  Spring Event
                ...
                return;
            }
            chain.doFilter(request, response);
        }
    }
    

    我们主要来关注第一步 根据用户请求解析令牌,组装预登陆对象

    来看默认实现 BearerTokenExtractor

    public class BearerTokenExtractor implements TokenExtractor {
        @Override
        public Authentication extract(HttpServletRequest request) {
            // 1. 解析token
            String tokenValue = extractToken(request);
            if (tokenValue != null) {
                // 2. 创建一个authentication 返回
                PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, "");
                return authentication;
            }
            return null;
        }
    
        protected String extractToken(HttpServletRequest request) {
            // 1.1 优先从请求header 获取token
            String token = extractHeaderToken(request);
            // 1.2 若是请求token 中没有,则获取请求参数中的 access_token 参数
            if (token == null) {
                token = request.getParameter(OAuth2AccessToken.ACCESS_TOKEN);
            }
            return token;
        }
    }
    

    扩展点

      1. 丰富获取 token 渠道,个性化处理.例如掘金的 X-Legacy-Token 而非必须是 Authorization
      1. 请求参数中携带 access_token 参数也能被正确解析处理
      1. 重写 BearerTokenExtractor 解决,若请求携带 token 无论接口是否被设置 permitAll 都会被拦截判断的问题

    以上源码参考: 基于 Spring Boot 2.3.0、 Spring Cloud Hoxton & Alibaba、 OAuth2 的 RBAC 权限管理系统 PigBearerTokenExtractor 部分扩展

    image

    相关文章

      网友评论

        本文标题:OAuth2 Token 一定要放在请求头中吗?

        本文链接:https://www.haomeiwen.com/subject/dnswfktx.html