详解OAuth2 Token 一定要放在请求头中吗
作者:冷冷zz 时间:2022-05-01 09:43:15
Token 一定要放在请求头中吗? 答案肯定是否定的,本文将从源码的角度来分享一下 spring security oauth2 的解析过程,及其扩展点的应用场景。
Token 解析过程说明
当我们使用 spring security oauth2 时, 一般情况下需要把认证中心申请的 token 放在请求头中请求目标接口,如下图 ①
spring security oauth2 通过 * 获取此 token 完成令牌到当前用户信息(UserDetails)的转换。
OAuth2AuthenticationProcessingFilter.doFilter
public class OAuth2AuthenticationProcessingFilter{
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
ServletException {
try {
// 1. 根据用户请求解析令牌,组装预登陆对象
Authentication authentication = tokenExtractor.extract(request);
if (authentication == null) {
// 若是预登陆状态为空,把无状态登录清空
if (stateless && isAuthenticated()) {
SecurityContextHolder.clearContext();
}
}
else {
// 2. 根据token 来做真正的认证登录 Provier
Authentication authResult = authenticationManager.authenticate(authentication);
// 3. 登录成功逻辑
eventPublisher.publishAuthenticationSuccess(authResult);
SecurityContextHolder.getContext().setAuthentication(authResult);
}
}
catch (OAuth2Exception failed) {
// 异常通知逻辑 Spring Event
...
return;
}
chain.doFilter(request, response);
}
}
我们主要来关注第一步 根据用户请求解析令牌,组装预登陆对象
来看默认实现 BearerTokenExtractor
public class BearerTokenExtractor implements TokenExtractor {
@Override
public Authentication extract(HttpServletRequest request) {
// 1. 解析token
String tokenValue = extractToken(request);
if (tokenValue != null) {
// 2. 创建一个authentication 返回
PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, "");
return authentication;
}
return null;
}
protected String extractToken(HttpServletRequest request) {
// 1.1 优先从请求header 获取token
String token = extractHeaderToken(request);
// 1.2 若是请求token 中没有,则获取请求参数中的 access_token 参数
if (token == null) {
token = request.getParameter(OAuth2AccessToken.ACCESS_TOKEN);
}
return token;
}
}
扩展点
丰富获取 token 渠道,个性化处理.例如掘金的 X-Legacy-Token 而非必须是 Authorization
请求参数中携带 access_token 参数也能被正确解析处理
重写 BearerTokenExtractor 解决,若请求携带 token 无论接口是否被设置 permitAll 都会被拦截判断的问题
以上源码参考: 基于 Spring Boot 2.3.0、 Spring Cloud Hoxton & Alibaba、 OAuth2 的 RBAC 权限管理系统 PigBearerTokenExtractor 部分扩展
项目推荐: Spring Cloud 、Spring Security OAuth2的RBAC权限管理系统
来源:https://www.cnblogs.com/leng-leng/p/13203505.html
标签:OAuth2,Token,请求
0
投稿猜你喜欢
Servlet中/和/*的区别详解
2022-07-11 03:21:33
一文带你学会Java事件机制
2022-07-22 05:05:11
Java基础之练习打印三角形
2023-08-25 05:39:33
spring boot和mybatis集成分页插件
2021-11-05 10:21:17
Java实例讲解Comparator的使用
2021-07-15 09:16:58
SpringBoot文件上传大小设置方式(yml中配置)
2021-09-21 09:26:47
Java使用Math.random()结合蒙特卡洛方法计算pi值示例
2023-05-10 10:43:13
Java中遍历Map的六种方法实现
2022-03-21 13:30:58
shiro多验证登录代码实例及问题解决
2023-11-30 07:20:00
java实现List中对象排序的方法
2023-11-08 21:36:29
大白话讲解C# 中的委托
2023-02-03 02:06:41
java compare compareTo方法区别详解
2022-06-26 08:13:55
浅谈Java如何实现一个基于LRU时间复杂度为O(1)的缓存
2022-02-02 08:35:36
详解SpringMVC如何进行数据回显
2023-09-12 08:48:15
springboot-dubbo cannot be cast to问题及解决
2022-06-27 14:46:51
深入理解Java8新特性之接口中的默认方法和静态方法
2023-11-24 01:44:25
Spring超详细讲解创建BeanDefinition流程
2023-11-25 08:37:55
SpringBoot自动装配原理详解
2023-07-26 08:44:46
java开发之Jdbc分页源码详解
2021-10-28 16:06:48
java实现上传文件类型检测过程解析
2023-11-09 12:04:21