Token 一定要放在請求頭中嗎? 答案肯定是否定的,本文將從原始碼的角度來分享一下 spring security oauth2 的決議程序,及其擴展點的應用場景,
Token 決議程序說明
當我們使用 spring security oauth2 時, 一般情況下需要把認證中心申請的 token 放在請求頭中請求目標介面,如下圖 ①
spring security oauth2 通過攔截器獲取此 token 完成令牌到當前用戶資訊(UserDetails)的轉換,
- OAuth2AuthenticationProcessingFilter.doFilter
public class OAuth2AuthenticationProcessingFilter{
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
ServletException {
try {
// 1. 根據用戶請求決議令牌,組裝預登陸物件
Authentication authentication = tokenExtractor.extract(request);
if (authentication == null) {
// 若是預登陸狀態為空,把無狀態登錄清空
if (stateless && isAuthenticated()) {
SecurityContextHolder.clearContext();
}
}
else {
// 2. 根據token 來做真正的認證登錄 Provier
Authentication authResult = authenticationManager.authenticate(authentication);
// 3. 登錄成功邏輯
eventPublisher.publishAuthenticationSuccess(authResult);
SecurityContextHolder.getContext().setAuthentication(authResult);
}
}
catch (OAuth2Exception failed) {
// 例外通知邏輯 Spring Event
...
return;
}
chain.doFilter(request, response);
}
}
我們主要來關注第一步 根據用戶請求決議令牌,組裝預登陸物件
來看默認實作 BearerTokenExtractor
public class BearerTokenExtractor implements TokenExtractor {
@Override
public Authentication extract(HttpServletRequest request) {
// 1. 決議token
String tokenValue = https://www.cnblogs.com/leng-leng/p/extractToken(request);
if (tokenValue != null) {
// 2. 創建一個authentication 回傳
PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue,"");
return authentication;
}
return null;
}
protected String extractToken(HttpServletRequest request) {
// 1.1 優先從請求header 獲取token
String token = extractHeaderToken(request);
// 1.2 若是請求token 中沒有,則獲取請求引數中的 access_token 引數
if (token == null) {
token = request.getParameter(OAuth2AccessToken.ACCESS_TOKEN);
}
return token;
}
}
擴展點
-
- 豐富獲取 token 渠道,個性化處理.例如掘金的 X-Legacy-Token 而非必須是 Authorization
-
- 請求引數中攜帶 access_token 引數也能被正確決議處理
-
- 重寫 BearerTokenExtractor 解決,若請求攜帶 token 無論介面是否被設定 permitAll 都會被攔截判斷的問題
- 重寫 BearerTokenExtractor 解決,若請求攜帶 token 無論介面是否被設定 permitAll 都會被攔截判斷的問題
以上原始碼參考: 基于 Spring Boot 2.3.0、 Spring Cloud Hoxton & Alibaba、 OAuth2 的 RBAC 權限管理系統 PigBearerTokenExtractor 部分擴展
專案推薦: Spring Cloud 、Spring Security OAuth2的RBAC權限管理系統 歡迎關注
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/155849.html
標籤:Java
上一篇:【JAVA SE基礎篇】41.Collection、List方法和ArrayList、LinkedList、Vector底層實作