OAuth 2.0 資源伺服器不記名令牌
不記名令牌解析
預設情況下,資源伺服器在 Authorization 頭中查詢不記名令牌。但是,您可以驗證此令牌。
例如,您可能需要從自定義頭中讀取不記名令牌。為此,您可以將 ServerBearerTokenAuthenticationConverter 例項連線到 DSL 中。
自定義不記名令牌頭
-
Java
-
Kotlin
ServerBearerTokenAuthenticationConverter converter = new ServerBearerTokenAuthenticationConverter();
converter.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION);
http
.oauth2ResourceServer((oauth2) -> oauth2
.bearerTokenConverter(converter)
);val converter = ServerBearerTokenAuthenticationConverter()
converter.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION)
return http {
oauth2ResourceServer {
bearerTokenConverter = converter
}
}不記名令牌傳播
現在您有了一個不記名令牌,您可以將其傳遞給下游服務。這可以透過 ServerBearerExchangeFilterFunction 實現。
-
Java
-
Kotlin
@Bean
public WebClient rest() {
return WebClient.builder()
.filter(new ServerBearerExchangeFilterFunction())
.build();
}@Bean
fun rest(): WebClient {
return WebClient.builder()
.filter(ServerBearerExchangeFilterFunction())
.build()
}當上例所示的 WebClient 執行請求時,Spring Security 會查詢當前的 Authentication 並提取任何 AbstractOAuth2Token 憑據。然後,它會在 Authorization 頭中傳播該令牌 — 例如
-
Java
-
Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono(String.class)this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono<String>()上例呼叫了 other-service.example.com/endpoint,為您添加了不記名令牌 Authorization 頭。
在需要覆蓋此行為的地方,您可以自行提供頭部
-
Java
-
Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.headers((headers) -> headers.setBearerAuth(overridingToken))
.retrieve()
.bodyToMono(String.class)rest.get()
.uri("https://other-service.example.com/endpoint")
.headers { it.setBearerAuth(overridingToken) }
.retrieve()
.bodyToMono<String>()在這種情況下,過濾器會回退並將請求轉發到 Web 過濾器鏈的其餘部分。
|
與 OAuth 2.0 客戶端過濾器函式 不同,此過濾器函式在令牌過期時不會嘗試續訂。 |
