小编给大家分享一下关于OAuth2中Token的解析过程说明,希望大家阅读完这篇文章后大所收获,下面让我们一起去探讨吧!
Token 一定要放在请求头中吗? 答案肯定是否定的,本文将从源码的角度来分享一下 spring security oauth3 的解析过程,及其扩展点的应用场景。
Token 解析过程说明
当我们使用 spring security oauth3 时, 一般情况下需要把认证中心申请的 token 放在请求头中请求目标接口,如下图 ①
spring security oauth3 通过拦截器获取此 token 完成令牌到当前用户信息(UserDetails)的转换。
OAuth3AuthenticationProcessingFilter.doFilter
public class OAuth3AuthenticationProcessingFilter{
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
ServletException {
try {
// 1. 根据用户请求解析令牌,组装预登陆对象
Authentication authentication = tokenExtractor.extract(request);
if (authentication == null) {
// 若是预登陆状态为空,把无状态登录清空
if (stateless && isAuthenticated()) {
SecurityContextHolder.clearContext();
}
}
else {
// 2. 根据token 来做真正的认证登录 Provier
Authentication authResult = authenticationManager.authenticate(authentication);
// 3. 登录成功逻辑
eventPublisher.publishAuthenticationSuccess(authResult);
SecurityContextHolder.getContext().setAuthentication(authResult);
}
}
catch (OAuth3Exception failed) {
// 异常通知逻辑 Spring Event
...
return;
}
chain.doFilter(request, response);
}
}我们主要来关注第一步 根据用户请求解析令牌,组装预登陆对象
来看默认实现 BearerTokenExtractor
public class BearerTokenExtractor implements TokenExtractor {
@Override
public Authentication extract(HttpServletRequest request) {
// 1. 解析token
String tokenValue = extractToken(request);
if (tokenValue != null) {
// 2. 创建一个authentication 返回
PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, "");
return authentication;
}
return null;
}
protected String extractToken(HttpServletRequest request) {
// 1.1 优先从请求header 获取token
String token = extractHeaderToken(request);
// 1.2 若是请求token 中没有,则获取请求参数中的 access_token 参数
if (token == null) {
token = request.getParameter(OAuth3AccessToken.ACCESS_TOKEN);
}
return token;
}
}扩展点
丰富获取 token 渠道,个性化处理.例如掘金的 X-Legacy-Token 而非必须是 Authorization
请求参数中携带 access_token 参数也能被正确解析处理
重写 BearerTokenExtractor 解决,若请求携带 token 无论接口是否被设置 permitAll 都会被拦截判断的问题
以上源码参考: 基于 Spring Boot 2.3.0、 Spring Cloud Hoxton & Alibaba、 OAuth3 的 RBAC 权限管理系统 PigBearerTokenExtractor 部分扩展
项目推荐: Spring Cloud 、Spring Security OAuth3的RBAC权限管理系统
看完了这篇文章,相信你对关于OAuth2中Token的解析过程说明有了一定的了解,想了解更多相关知识,欢迎关注亿速云行业资讯频道,感谢各位的阅读!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
