OAuth2 Token 一定要放在請求頭中嗎？

雲栖号資訊：【 點選檢視更多行業資訊

】

在這裡您可以找到不同行業的第一手的上雲資訊，還在等什麼，快來！

Token 一定要放在請求頭中嗎？ 答案肯定是否定的，本文将從源碼的角度來分享一下 spring security oauth2 的解析過程，及其擴充點的應用場景。

Token 解析過程說明

當我們使用 spring security oauth2 時, 一般情況下需要把認證中心申請的 token 放在請求頭中請求目标接口，如下圖 ①

spring security oauth2 通過攔截器擷取此 token 完成令牌到目前使用者資訊（UserDetails）的轉換。

• OAuth2AuthenticationProcessingFilter.doFilter

public class OAuth2AuthenticationProcessingFilter{
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
            ServletException {
        try {
            // 1. 根據使用者請求解析令牌，組裝預登陸對象
            Authentication authentication = tokenExtractor.extract(request);
            if (authentication == null) {
                // 若是預登陸狀态為空，把無狀态登入清空
                if (stateless && isAuthenticated()) {
                    SecurityContextHolder.clearContext();
                }
            }
            else {
                // 2. 根據token 來做真正的認證登入 Provier
                Authentication authResult = authenticationManager.authenticate(authentication);

                // 3. 登入成功邏輯
                eventPublisher.publishAuthenticationSuccess(authResult);
                SecurityContextHolder.getContext().setAuthentication(authResult);
            }
        }
        catch (OAuth2Exception failed) {
            // 異常通知邏輯  Spring Event
            ...
            return;
        }
        chain.doFilter(request, response);
    }
}           

我們主要來關注第一步 根據使用者請求解析令牌，組裝預登陸對象

來看預設實作 BearerTokenExtractor

public class BearerTokenExtractor implements TokenExtractor {
    @Override
    public Authentication extract(HttpServletRequest request) {
        // 1. 解析token
        String tokenValue = extractToken(request);
        if (tokenValue != null) {
            // 2. 建立一個authentication 傳回
            PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, "");
            return authentication;
        }
        return null;
    }

    protected String extractToken(HttpServletRequest request) {
        // 1.1 優先從請求header 擷取token
        String token = extractHeaderToken(request);
        // 1.2 若是請求token 中沒有，則擷取請求參數中的 access_token 參數
        if (token == null) {
            token = request.getParameter(OAuth2AccessToken.ACCESS_TOKEN);
        }
        return token;
    }
}           

擴充點

1.豐富擷取 token 管道，個性化處理.例如掘金的 X-Legacy-Token 而非必須是 Authorization

2.請求參數中攜帶 access_token 參數也能被正确解析處理

3.重寫 BearerTokenExtractor 解決，若請求攜帶 token 無論接口是否被設定 permitAll 都會被攔截判斷的問題

【雲栖号線上課堂】每天都有産品技術專家分享！

課程位址：

https://yqh.aliyun.com/live

立即加入社群，與專家面對面，及時了解課程最新動态！

【雲栖号線上課堂 社群】

https://c.tb.cn/F3.Z8gvnK

原文釋出時間：2020-06-28

本文作者：冷冷zz

本文來自：“

掘金

”，了解相關資訊可以關注“掘金”