OAuth2 Token 放在请求头中是必须的吗?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1063个文字,预计阅读时间需要5分钟。
Token 一定要放在请求头中吗?答案是否定的。Token 的放置位置取决于具体的实现和需求。以下是对 Spring Security OAuth2 的解析过程及其应用场景的简要说明。
Token 解析过程说明:当我们使用 Spring Security OAuth2 时,Token 通常用于身份验证和授权。Token 的解析过程如下:
1. 客户端向认证服务器发送请求,请求中包含用户凭证(如用户名和密码)。
2.认证服务器验证凭证,如果验证成功,则生成一个 Token。
3.客户端将 Token 发送到需要访问受保护资源的服务器。
4.受保护资源服务器验证 Token 的有效性,如果验证通过,则允许访问资源。
应用场景:
Spring Security OAuth2 的应用场景包括但不限于以下几种:1. 单点登录(SSO):允许用户在一个系统中登录后,访问其他多个系统而无需重复登录。
2.API 接口保护:保护 API 接口,确保只有授权用户才能访问。
3.跨域资源共享(CORS):允许不同域的服务器之间进行数据交换。
4.移动应用认证:在移动应用中实现用户认证和授权。
总结:
Token 的放置位置并非固定,应根据具体需求来决定。Spring Security OAuth2 提供了灵活的认证和授权机制,适用于多种应用场景。Token 一定要放在请求头中吗? 答案肯定是否定的,本文将从源码的角度来分享一下 spring security oauth2 的解析过程,及其扩展点的应用场景。
Token 解析过程说明
当我们使用 spring security oauth2 时, 一般情况下需要把认证中心申请的 token 放在请求头中请求目标接口,如下图 ①
spring security oauth2 通过拦截器获取此 token 完成令牌到当前用户信息(UserDetails)的转换。
OAuth2AuthenticationProcessingFilter.doFilter
public class OAuth2AuthenticationProcessingFilter{ public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { try { // 1. 根据用户请求解析令牌,组装预登陆对象 Authentication authentication = tokenExtractor.extract(request); if (authentication == null) { // 若是预登陆状态为空,把无状态登录清空 if (stateless && isAuthenticated()) { SecurityContextHolder.clearContext(); } } else { // 2. 根据token 来做真正的认证登录 Provier Authentication authResult = authenticationManager.authenticate(authentication); // 3. 登录成功逻辑 eventPublisher.publishAuthenticationSuccess(authResult); SecurityContextHolder.getContext().setAuthentication(authResult); } } catch (OAuth2Exception failed) { // 异常通知逻辑 Spring Event ... return; } chain.doFilter(request, response); } }
我们主要来关注第一步 根据用户请求解析令牌,组装预登陆对象
来看默认实现 BearerTokenExtractor
public class BearerTokenExtractor implements TokenExtractor { @Override public Authentication extract(HttpServletRequest request) { // 1. 解析token String tokenValue = extractToken(request); if (tokenValue != null) { // 2. 创建一个authentication 返回 PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, ""); return authentication; } return null; } protected String extractToken(HttpServletRequest request) { // 1.1 优先从请求header 获取token String token = extractHeaderToken(request); // 1.2 若是请求token 中没有,则获取请求参数中的 access_token 参数 if (token == null) { token = request.getParameter(OAuth2AccessToken.ACCESS_TOKEN); } return token; } }
扩展点
丰富获取 token 渠道,个性化处理.例如掘金的 X-Legacy-Token 而非必须是 Authorization
请求参数中携带 access_token 参数也能被正确解析处理
重写 BearerTokenExtractor 解决,若请求携带 token 无论接口是否被设置 permitAll 都会被拦截判断的问题
以上源码参考: 基于 Spring Boot 2.3.0、 Spring Cloud Hoxton & Alibaba、 OAuth2 的 RBAC 权限管理系统 PigBearerTokenExtractor 部分扩展
项目推荐: Spring Cloud 、Spring Security OAuth2的RBAC权限管理系统
到此这篇关于详解OAuth2 Token 一定要放在请求头中吗的文章就介绍到这了,更多相关OAuth2 Token 请求头内容请搜索易盾网络以前的文章或继续浏览下面的相关文章希望大家以后多多支持易盾网络!
本文共计1063个文字,预计阅读时间需要5分钟。
Token 一定要放在请求头中吗?答案是否定的。Token 的放置位置取决于具体的实现和需求。以下是对 Spring Security OAuth2 的解析过程及其应用场景的简要说明。
Token 解析过程说明:当我们使用 Spring Security OAuth2 时,Token 通常用于身份验证和授权。Token 的解析过程如下:
1. 客户端向认证服务器发送请求,请求中包含用户凭证(如用户名和密码)。
2.认证服务器验证凭证,如果验证成功,则生成一个 Token。
3.客户端将 Token 发送到需要访问受保护资源的服务器。
4.受保护资源服务器验证 Token 的有效性,如果验证通过,则允许访问资源。
应用场景:
Spring Security OAuth2 的应用场景包括但不限于以下几种:1. 单点登录(SSO):允许用户在一个系统中登录后,访问其他多个系统而无需重复登录。
2.API 接口保护:保护 API 接口,确保只有授权用户才能访问。
3.跨域资源共享(CORS):允许不同域的服务器之间进行数据交换。
4.移动应用认证:在移动应用中实现用户认证和授权。
总结:
Token 的放置位置并非固定,应根据具体需求来决定。Spring Security OAuth2 提供了灵活的认证和授权机制,适用于多种应用场景。Token 一定要放在请求头中吗? 答案肯定是否定的,本文将从源码的角度来分享一下 spring security oauth2 的解析过程,及其扩展点的应用场景。
Token 解析过程说明
当我们使用 spring security oauth2 时, 一般情况下需要把认证中心申请的 token 放在请求头中请求目标接口,如下图 ①
spring security oauth2 通过拦截器获取此 token 完成令牌到当前用户信息(UserDetails)的转换。
OAuth2AuthenticationProcessingFilter.doFilter
public class OAuth2AuthenticationProcessingFilter{ public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { try { // 1. 根据用户请求解析令牌,组装预登陆对象 Authentication authentication = tokenExtractor.extract(request); if (authentication == null) { // 若是预登陆状态为空,把无状态登录清空 if (stateless && isAuthenticated()) { SecurityContextHolder.clearContext(); } } else { // 2. 根据token 来做真正的认证登录 Provier Authentication authResult = authenticationManager.authenticate(authentication); // 3. 登录成功逻辑 eventPublisher.publishAuthenticationSuccess(authResult); SecurityContextHolder.getContext().setAuthentication(authResult); } } catch (OAuth2Exception failed) { // 异常通知逻辑 Spring Event ... return; } chain.doFilter(request, response); } }
我们主要来关注第一步 根据用户请求解析令牌,组装预登陆对象
来看默认实现 BearerTokenExtractor
public class BearerTokenExtractor implements TokenExtractor { @Override public Authentication extract(HttpServletRequest request) { // 1. 解析token String tokenValue = extractToken(request); if (tokenValue != null) { // 2. 创建一个authentication 返回 PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, ""); return authentication; } return null; } protected String extractToken(HttpServletRequest request) { // 1.1 优先从请求header 获取token String token = extractHeaderToken(request); // 1.2 若是请求token 中没有,则获取请求参数中的 access_token 参数 if (token == null) { token = request.getParameter(OAuth2AccessToken.ACCESS_TOKEN); } return token; } }
扩展点
丰富获取 token 渠道,个性化处理.例如掘金的 X-Legacy-Token 而非必须是 Authorization
请求参数中携带 access_token 参数也能被正确解析处理
重写 BearerTokenExtractor 解决,若请求携带 token 无论接口是否被设置 permitAll 都会被拦截判断的问题
以上源码参考: 基于 Spring Boot 2.3.0、 Spring Cloud Hoxton & Alibaba、 OAuth2 的 RBAC 权限管理系统 PigBearerTokenExtractor 部分扩展
项目推荐: Spring Cloud 、Spring Security OAuth2的RBAC权限管理系统
到此这篇关于详解OAuth2 Token 一定要放在请求头中吗的文章就介绍到这了,更多相关OAuth2 Token 请求头内容请搜索易盾网络以前的文章或继续浏览下面的相关文章希望大家以后多多支持易盾网络!