OAuth2 Token 一定要放在请求头中吗？

冷冷

发布于 2020-06-29 16:04:27

1.9K0

发布于 2020-06-29 16:04:27

文章被收录于专栏：冷冷冷冷

Token 一定要放在请求头中吗？答案肯定是否定的，本文将从源码的角度来分享一下 spring security oauth2 的解析过程，及其扩展点的应用场景。

Token 解析过程说明

当我们使用 spring security oauth2 时, 一般情况下需要把认证中心申请的 token 放在请求头中请求目标接口，如下图 ①

spring security oauth2 通过拦截器获取此 token 完成令牌到当前用户信息（UserDetails）的转换。

OAuth2AuthenticationProcessingFilter.doFilter

public class OAuth2AuthenticationProcessingFilter{
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
			ServletException {
		try {
			// 1. 根据用户请求解析令牌，组装预登陆对象
			Authentication authentication = tokenExtractor.extract(request);
			if (authentication == null) {
				// 若是预登陆状态为空，把无状态登录清空
				if (stateless && isAuthenticated()) {
					SecurityContextHolder.clearContext();
				}
			}
			else {
				// 2. 根据token 来做真正的认证登录 Provier
				Authentication authResult = authenticationManager.authenticate(authentication);

				// 3. 登录成功逻辑
				eventPublisher.publishAuthenticationSuccess(authResult);
				SecurityContextHolder.getContext().setAuthentication(authResult);
			}
		}
		catch (OAuth2Exception failed) {
            // 异常通知逻辑  Spring Event
			...
			return;
		}
		chain.doFilter(request, response);
	}
}

我们主要来关注第一步 根据用户请求解析令牌，组装预登陆对象

来看默认实现 BearerTokenExtractor

public class BearerTokenExtractor implements TokenExtractor {
	@Override
	public Authentication extract(HttpServletRequest request) {
		// 1. 解析token
		String tokenValue = extractToken(request);
		if (tokenValue != null) {
			// 2. 创建一个authentication 返回
			PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, "");
			return authentication;
		}
		return null;
	}

	protected String extractToken(HttpServletRequest request) {
		// 1.1 优先从请求header 获取token
		String token = extractHeaderToken(request);
		// 1.2 若是请求token 中没有，则获取请求参数中的 access_token 参数
		if (token == null) {
			token = request.getParameter(OAuth2AccessToken.ACCESS_TOKEN);
		}
		return token;
	}
}