OAuth 2.0 資源伺服器不記名令牌
不記名令牌解析
預設情況下,資源伺服器會在 Authorization 頭部查詢不記名令牌。但是,你可以定製此令牌的解析方式。
例如,你可能需要從自定義頭部讀取不記名令牌。為此,可以將 ServerBearerTokenAuthenticationConverter 例項注入到 DSL 中
自定義不記名令牌頭部
-
Java
-
Kotlin
ServerBearerTokenAuthenticationConverter converter = new ServerBearerTokenAuthenticationConverter();
converter.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION);
http
.oauth2ResourceServer(oauth2 -> oauth2
.bearerTokenConverter(converter)
);val converter = ServerBearerTokenAuthenticationConverter()
converter.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION)
return http {
oauth2ResourceServer {
bearerTokenConverter = converter
}
}不記名令牌傳播
現在你擁有了不記名令牌,可以將其傳遞給下游服務。這可以透過 ServerBearerExchangeFilterFunction 實現
-
Java
-
Kotlin
@Bean
public WebClient rest() {
return WebClient.builder()
.filter(new ServerBearerExchangeFilterFunction())
.build();
}@Bean
fun rest(): WebClient {
return WebClient.builder()
.filter(ServerBearerExchangeFilterFunction())
.build()
}當前述示例中的 WebClient 執行請求時,Spring Security 會查詢當前的 Authentication 並提取任何 AbstractOAuth2Token 憑證。然後,它會將該令牌傳播到 Authorization 頭部 — 例如
-
Java
-
Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono(String.class)this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono<String>()前述示例呼叫 other-service.example.com/endpoint,自動為你添加了不記名令牌的 Authorization 頭部。
在你需要覆蓋此行為的地方,可以自己提供頭部
-
Java
-
Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.headers(headers -> headers.setBearerAuth(overridingToken))
.retrieve()
.bodyToMono(String.class)rest.get()
.uri("https://other-service.example.com/endpoint")
.headers { it.setBearerAuth(overridingToken) }
.retrieve()
.bodyToMono<String>()在這種情況下,過濾器會回退並將請求轉發到 Web 過濾鏈的其餘部分。
|
與 OAuth 2.0 Client 過濾器函式 不同,此過濾器函式不會嘗試續訂已過期的令牌。 |
