详解OAuth2 Token 一定要放在请求头中吗

 更新时间:2020年07月09日 10:19:02   作者:冷冷zz  
这篇文章主要介绍了详解OAuth2 Token 一定要放在请求头中吗,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

Token 一定要放在请求头中吗? 答案肯定是否定的,本文将从源码的角度来分享一下 spring security oauth2 的解析过程,及其扩展点的应用场景。

Token 解析过程说明

当我们使用 spring security oauth2 时, 一般情况下需要把认证中心申请的 token 放在请求头中请求目标接口,如下图 ①

spring security oauth2 通过拦截器获取此 token 完成令牌到当前用户信息(UserDetails)的转换。

OAuth2AuthenticationProcessingFilter.doFilter

public class OAuth2AuthenticationProcessingFilter{
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
			ServletException {
		try {
			// 1. 根据用户请求解析令牌,组装预登陆对象
			Authentication authentication = tokenExtractor.extract(request);
			if (authentication == null) {
				// 若是预登陆状态为空,把无状态登录清空
				if (stateless && isAuthenticated()) {
					SecurityContextHolder.clearContext();
				}
			}
			else {
				// 2. 根据token 来做真正的认证登录 Provier
				Authentication authResult = authenticationManager.authenticate(authentication);

				// 3. 登录成功逻辑
				eventPublisher.publishAuthenticationSuccess(authResult);
				SecurityContextHolder.getContext().setAuthentication(authResult);
			}
		}
		catch (OAuth2Exception failed) {
      // 异常通知逻辑 Spring Event
			...
			return;
		}
		chain.doFilter(request, response);
	}
}

我们主要来关注第一步 根据用户请求解析令牌,组装预登陆对象

来看默认实现 BearerTokenExtractor

public class BearerTokenExtractor implements TokenExtractor {
	@Override
	public Authentication extract(HttpServletRequest request) {
		// 1. 解析token
		String tokenValue = extractToken(request);
		if (tokenValue != null) {
			// 2. 创建一个authentication 返回
			PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, "");
			return authentication;
		}
		return null;
	}

	protected String extractToken(HttpServletRequest request) {
		// 1.1 优先从请求header 获取token
		String token = extractHeaderToken(request);
		// 1.2 若是请求token 中没有,则获取请求参数中的 access_token 参数
		if (token == null) {
			token = request.getParameter(OAuth2AccessToken.ACCESS_TOKEN);
		}
		return token;
	}
}

扩展点

丰富获取 token 渠道,个性化处理.例如掘金的 X-Legacy-Token 而非必须是 Authorization

请求参数中携带 access_token 参数也能被正确解析处理

重写 BearerTokenExtractor 解决,若请求携带 token 无论接口是否被设置 permitAll 都会被拦截判断的问题

以上源码参考: 基于 Spring Boot 2.3.0、 Spring Cloud Hoxton & Alibaba、 OAuth2 的 RBAC 权限管理系统 PigBearerTokenExtractor 部分扩展

项目推荐: Spring Cloud 、Spring Security OAuth2的RBAC权限管理系统

到此这篇关于详解OAuth2 Token 一定要放在请求头中吗的文章就介绍到这了,更多相关OAuth2 Token 请求头内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

相关文章

  • 解析Spring 漏洞及其修复方案

    解析Spring 漏洞及其修复方案

    官宣了最近网传的Spring漏洞。攻击者利用该漏洞,可在未授权的情况下远程执行命令,今天通过本文给大家普及下漏洞分析影响范围及解决方案,感兴趣的朋友跟随小编一起看看吧
    2022-04-04
  • 通过代码实例了解SpringBoot启动原理

    通过代码实例了解SpringBoot启动原理

    这篇文章主要介绍了通过代码实例了解SpringBoot启动原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2019-12-12
  • 使用idea自动生成序列化ID全过程

    使用idea自动生成序列化ID全过程

    这篇文章主要介绍了使用idea自动生成序列化ID全过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2023-09-09
  • Java_Spring之XML 的 AOP 配置

    Java_Spring之XML 的 AOP 配置

    这篇文章主要介绍了Java_Spring中基于XML的AOP配置,上篇讲到的是基于注解的AOP配置,对XML感兴趣的同学可以参考阅读本文
    2023-04-04
  • Java 多线程同步 锁机制与synchronized深入解析

    Java 多线程同步 锁机制与synchronized深入解析

    从尺寸上讲,同步代码块比同步方法小。你可以把同步代码块看成是没上锁房间里的一块用带锁的屏风隔开的空间
    2013-09-09
  • 如何使用Spring工具类动态匹配url

    如何使用Spring工具类动态匹配url

    这篇文章主要介绍了如何使用Spring工具类动态匹配url,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2019-12-12
  • Java稀疏数组详细图文教程

    Java稀疏数组详细图文教程

    当一个数组中的大部分元素为相同的值,可使用稀疏数组来保存该数组,可以将稀疏数组看做是普通数组的压缩,这篇文章主要给大家介绍了关于Java稀疏数组的相关资料,需要的朋友可以参考下
    2023-09-09
  • 详解mybatis插入数据后返回自增主键ID的问题

    详解mybatis插入数据后返回自增主键ID的问题

    这篇文章主要介绍了mybatis插入数据后返回自增主键ID详解,本文通过场景分析示例代码相结合给大家介绍的非常详细,需要的朋友可以参考下
    2021-07-07
  • Java实现可配置换肤的方法示例

    Java实现可配置换肤的方法示例

    本文主要介绍了Java实现可配置换肤的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2022-06-06
  • 如何使用 Shell 脚本查看多个服务器的端口是否打开的方法

    如何使用 Shell 脚本查看多个服务器的端口是否打开的方法

    这篇文章主要介绍了如何使用 Shell 脚本来查看多个服务器的端口是否打开的方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-06-06

最新评论