OAuth 2.0 资源服务器不记名令牌
不记名令牌解析
默认情况下,资源服务器会在 Authorization 头部查找不记名令牌。但是,你可以定制此令牌的解析方式。
例如,你可能需要从自定义头部读取不记名令牌。为此,可以将 ServerBearerTokenAuthenticationConverter 实例注入到 DSL 中
自定义不记名令牌头部
-
Java
-
Kotlin
ServerBearerTokenAuthenticationConverter converter = new ServerBearerTokenAuthenticationConverter();
converter.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION);
http
.oauth2ResourceServer(oauth2 -> oauth2
.bearerTokenConverter(converter)
);val converter = ServerBearerTokenAuthenticationConverter()
converter.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION)
return http {
oauth2ResourceServer {
bearerTokenConverter = converter
}
}不记名令牌传播
现在你拥有了不记名令牌,可以将其传递给下游服务。这可以通过 ServerBearerExchangeFilterFunction 实现
-
Java
-
Kotlin
@Bean
public WebClient rest() {
return WebClient.builder()
.filter(new ServerBearerExchangeFilterFunction())
.build();
}@Bean
fun rest(): WebClient {
return WebClient.builder()
.filter(ServerBearerExchangeFilterFunction())
.build()
}当前述示例中的 WebClient 执行请求时,Spring Security 会查找当前的 Authentication 并提取任何 AbstractOAuth2Token 凭证。然后,它会将该令牌传播到 Authorization 头部 — 例如
-
Java
-
Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono(String.class)this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono<String>()前述示例调用 other-service.example.com/endpoint,自动为你添加了不记名令牌的 Authorization 头部。
在你需要覆盖此行为的地方,可以自己提供头部
-
Java
-
Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.headers(headers -> headers.setBearerAuth(overridingToken))
.retrieve()
.bodyToMono(String.class)rest.get()
.uri("https://other-service.example.com/endpoint")
.headers { it.setBearerAuth(overridingToken) }
.retrieve()
.bodyToMono<String>()在这种情况下,过滤器会回退并将请求转发到 Web 过滤链的其余部分。
|
与 OAuth 2.0 Client 过滤器函数 不同,此过滤器函数不会尝试续订已过期的令牌。 |
