溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
小編給大家分享一下關于OAuth2中Token的解析過程說明,希望大家閱讀完這篇文章后大所收獲,下面讓我們一起去探討吧!
Token 一定要放在請求頭中嗎? 答案肯定是否定的,本文將從源碼的角度來分享一下 spring security oauth3 的解析過程,及其擴展點的應用場景。
Token 解析過程說明
當我們使用 spring security oauth3 時, 一般情況下需要把認證中心申請的 token 放在請求頭中請求目標接口,如下圖 ①
spring security oauth3 通過攔截器獲取此 token 完成令牌到當前用戶信息(UserDetails)的轉換。
OAuth3AuthenticationProcessingFilter.doFilter
public class OAuth3AuthenticationProcessingFilter{
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
ServletException {
try {
// 1. 根據用戶請求解析令牌,組裝預登陸對象
Authentication authentication = tokenExtractor.extract(request);
if (authentication == null) {
// 若是預登陸狀態為空,把無狀態登錄清空
if (stateless && isAuthenticated()) {
SecurityContextHolder.clearContext();
}
}
else {
// 2. 根據token 來做真正的認證登錄 Provier
Authentication authResult = authenticationManager.authenticate(authentication);
// 3. 登錄成功邏輯
eventPublisher.publishAuthenticationSuccess(authResult);
SecurityContextHolder.getContext().setAuthentication(authResult);
}
}
catch (OAuth3Exception failed) {
// 異常通知邏輯 Spring Event
...
return;
}
chain.doFilter(request, response);
}
}我們主要來關注第一步 根據用戶請求解析令牌,組裝預登陸對象
來看默認實現 BearerTokenExtractor
public class BearerTokenExtractor implements TokenExtractor {
@Override
public Authentication extract(HttpServletRequest request) {
// 1. 解析token
String tokenValue = extractToken(request);
if (tokenValue != null) {
// 2. 創建一個authentication 返回
PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, "");
return authentication;
}
return null;
}
protected String extractToken(HttpServletRequest request) {
// 1.1 優先從請求header 獲取token
String token = extractHeaderToken(request);
// 1.2 若是請求token 中沒有,則獲取請求參數中的 access_token 參數
if (token == null) {
token = request.getParameter(OAuth3AccessToken.ACCESS_TOKEN);
}
return token;
}
}擴展點
豐富獲取 token 渠道,個性化處理.例如掘金的 X-Legacy-Token 而非必須是 Authorization
請求參數中攜帶 access_token 參數也能被正確解析處理
重寫 BearerTokenExtractor 解決,若請求攜帶 token 無論接口是否被設置 permitAll 都會被攔截判斷的問題
以上源碼參考: 基于 Spring Boot 2.3.0、 Spring Cloud Hoxton & Alibaba、 OAuth3 的 RBAC 權限管理系統 PigBearerTokenExtractor 部分擴展
項目推薦: Spring Cloud 、Spring Security OAuth3的RBAC權限管理系統
看完了這篇文章,相信你對關于OAuth2中Token的解析過程說明有了一定的了解,想了解更多相關知識,歡迎關注億速云行業資訊頻道,感謝各位的閱讀!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
