溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

關(guān)于OAuth2中Token的解析過程說明

發(fā)布時間:2020-07-10 11:21:40 來源:億速云 閱讀:1747 作者:清晨 欄目:開發(fā)技術(shù)

小編給大家分享一下關(guān)于OAuth2中Token的解析過程說明,希望大家閱讀完這篇文章后大所收獲,下面讓我們一起去探討吧!

Token 一定要放在請求頭中嗎? 答案肯定是否定的,本文將從源碼的角度來分享一下 spring security oauth3 的解析過程,及其擴展點的應(yīng)用場景。

Token 解析過程說明

當(dāng)我們使用 spring security oauth3 時, 一般情況下需要把認(rèn)證中心申請的 token 放在請求頭中請求目標(biāo)接口,如下圖 ①

關(guān)于OAuth2中Token的解析過程說明

spring security oauth3 通過攔截器獲取此 token 完成令牌到當(dāng)前用戶信息(UserDetails)的轉(zhuǎn)換。

OAuth3AuthenticationProcessingFilter.doFilter

public class OAuth3AuthenticationProcessingFilter{
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
			ServletException {
		try {
			// 1. 根據(jù)用戶請求解析令牌,組裝預(yù)登陸對象
			Authentication authentication = tokenExtractor.extract(request);
			if (authentication == null) {
				// 若是預(yù)登陸狀態(tài)為空,把無狀態(tài)登錄清空
				if (stateless && isAuthenticated()) {
					SecurityContextHolder.clearContext();
				}
			}
			else {
				// 2. 根據(jù)token 來做真正的認(rèn)證登錄 Provier
				Authentication authResult = authenticationManager.authenticate(authentication);

				// 3. 登錄成功邏輯
				eventPublisher.publishAuthenticationSuccess(authResult);
				SecurityContextHolder.getContext().setAuthentication(authResult);
			}
		}
		catch (OAuth3Exception failed) {
      // 異常通知邏輯 Spring Event
			...
			return;
		}
		chain.doFilter(request, response);
	}
}

我們主要來關(guān)注第一步 根據(jù)用戶請求解析令牌,組裝預(yù)登陸對象

來看默認(rèn)實現(xiàn) BearerTokenExtractor

public class BearerTokenExtractor implements TokenExtractor {
	@Override
	public Authentication extract(HttpServletRequest request) {
		// 1. 解析token
		String tokenValue = extractToken(request);
		if (tokenValue != null) {
			// 2. 創(chuàng)建一個authentication 返回
			PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, "");
			return authentication;
		}
		return null;
	}

	protected String extractToken(HttpServletRequest request) {
		// 1.1 優(yōu)先從請求header 獲取token
		String token = extractHeaderToken(request);
		// 1.2 若是請求token 中沒有,則獲取請求參數(shù)中的 access_token 參數(shù)
		if (token == null) {
			token = request.getParameter(OAuth3AccessToken.ACCESS_TOKEN);
		}
		return token;
	}
}

擴展點

豐富獲取 token 渠道,個性化處理.例如掘金的 X-Legacy-Token 而非必須是 Authorization

關(guān)于OAuth2中Token的解析過程說明

請求參數(shù)中攜帶 access_token 參數(shù)也能被正確解析處理

關(guān)于OAuth2中Token的解析過程說明

重寫 BearerTokenExtractor 解決,若請求攜帶 token 無論接口是否被設(shè)置 permitAll 都會被攔截判斷的問題

關(guān)于OAuth2中Token的解析過程說明

以上源碼參考: 基于 Spring Boot 2.3.0、 Spring Cloud Hoxton & Alibaba、 OAuth3 的 RBAC 權(quán)限管理系統(tǒng) PigBearerTokenExtractor 部分?jǐn)U展

項目推薦: Spring Cloud 、Spring Security OAuth3的RBAC權(quán)限管理系統(tǒng)

看完了這篇文章,相信你對關(guān)于OAuth2中Token的解析過程說明有了一定的了解,想了解更多相關(guān)知識,歡迎關(guān)注億速云行業(yè)資訊頻道,感謝各位的閱讀!

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI