Token 一定要放在請求頭中嗎? 答案肯定是否定的,本文將從源碼的角度來分享一下 spring security oauth2 的解析過程,及其擴展點的應用場景。
Token 解析過程說明
當我們使用 spring security oauth2 時, 一般情況下需要把認證中心申請的 token 放在請求頭中請求目標接口,如下圖 ①
spring security oauth2 通過攔截器獲取此 token 完成令牌到當前用戶信息(UserDetails)的轉換。
- OAuth2AuthenticationProcessingFilter.doFilter
public class OAuth2AuthenticationProcessingFilter{
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
ServletException {
try {
// 1. 根據用戶請求解析令牌,組裝預登陸對象
Authentication authentication = tokenExtractor.extract(request);
if (authentication == null) {
// 若是預登陸狀態為空,把無狀態登錄清空
if (stateless && isAuthenticated()) {
SecurityContextHolder.clearContext();
}
}
else {
// 2. 根據token 來做真正的認證登錄 Provier
Authentication authResult = authenticationManager.authenticate(authentication);
// 3. 登錄成功邏輯
eventPublisher.publishAuthenticationSuccess(authResult);
SecurityContextHolder.getContext().setAuthentication(authResult);
}
}
catch (OAuth2Exception failed) {
// 異常通知邏輯 Spring Event
...
return;
}
chain.doFilter(request, response);
}
}
我們主要來關注第一步 根據用戶請求解析令牌,組裝預登陸對象
來看默認實現 BearerTokenExtractor
public class BearerTokenExtractor implements TokenExtractor {
@Override
public Authentication extract(HttpServletRequest request) {
// 1. 解析token
String tokenValue = extractToken(request);
if (tokenValue != null) {
// 2. 創建一個authentication 返回
PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, "");
return authentication;
}
return null;
}
protected String extractToken(HttpServletRequest request) {
// 1.1 優先從請求header 獲取token
String token = extractHeaderToken(request);
// 1.2 若是請求token 中沒有,則獲取請求參數中的 access_token 參數
if (token == null) {
token = request.getParameter(OAuth2AccessToken.ACCESS_TOKEN);
}
return token;
}
}
擴展點
-
- 豐富獲取 token 渠道,個性化處理.例如掘金的 X-Legacy-Token 而非必須是 Authorization
-
- 請求參數中攜帶 access_token 參數也能被正確解析處理
-
- 重寫 BearerTokenExtractor 解決,若請求攜帶 token 無論接口是否被設置 permitAll 都會被攔截判斷的問題
- 重寫 BearerTokenExtractor 解決,若請求攜帶 token 無論接口是否被設置 permitAll 都會被攔截判斷的問題