OAuth 2.0 Bearer Token
| 本站(springdoc.cn)中的内容来源于 spring.io ,原始版权归属于 spring.io。由 springdoc.cn 进行翻译,整理。可供个人学习、研究,未经许可,不得进行任何转载、商用或与之相关的行为。 商标声明:Spring 是 Pivotal Software, Inc. 在美国以及其他国家的商标。 |
Bearer Token 解析
默认情况下,资源服务器会在 Authorization 头中寻找一个 bearer token。然而,这可以通过一些方式进行定制。
从自定义头中读取 Bearer Token
例如,你可能需要从一个自定义头中读取 bearer token。为了达到这个目的,你可以把 DefaultBearerTokenResolver 作为一个Bean公开,或者把一个实例接入DSL,正如你在下面的例子中看到的那样。
Custom Bearer Token Header
-
Java
-
Kotlin
-
Xml
@Bean
BearerTokenResolver bearerTokenResolver() {
DefaultBearerTokenResolver bearerTokenResolver = new DefaultBearerTokenResolver();
bearerTokenResolver.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION);
return bearerTokenResolver;
}@Bean
fun bearerTokenResolver(): BearerTokenResolver {
val bearerTokenResolver = DefaultBearerTokenResolver()
bearerTokenResolver.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION)
return bearerTokenResolver
}<http>
<oauth2-resource-server bearer-token-resolver-ref="bearerTokenResolver"/>
</http>
<bean id="bearerTokenResolver"
class="org.springframework.security.oauth2.server.resource.web.DefaultBearerTokenResolver">
<property name="bearerTokenHeaderName" value="Proxy-Authorization"/>
</bean>或者,在提供者同时使用自定义头和值的情况下,你可以使用 HeaderBearerTokenResolver 代替。
从 Form 参数中读取 Bearer Token
或者,你可能希望从表单参数中读取令牌,你可以通过配置 DefaultBearerTokenResolver 来做到这一点,如下图所示。
Form Parameter Bearer Token
-
Java
-
Kotlin
-
Xml
DefaultBearerTokenResolver resolver = new DefaultBearerTokenResolver();
resolver.setAllowFormEncodedBodyParameter(true);
http
.oauth2ResourceServer(oauth2 -> oauth2
.bearerTokenResolver(resolver)
);val resolver = DefaultBearerTokenResolver()
resolver.setAllowFormEncodedBodyParameter(true)
http {
oauth2ResourceServer {
bearerTokenResolver = resolver
}
}<http>
<oauth2-resource-server bearer-token-resolver-ref="bearerTokenResolver"/>
</http>
<bean id="bearerTokenResolver"
class="org.springframework.security.oauth2.server.resource.web.HeaderBearerTokenResolver">
<property name="allowFormEncodedBodyParameter" value="true"/>
</bean>Bearer Token 的传播
现在你的资源服务器已经验证了令牌,把它传递给下游服务可能会很方便。这很简单,用
ServletBearerExchangeFilterFunction,你可以在下面的例子中看到它。
-
Java
-
Kotlin
@Bean
public WebClient rest() {
return WebClient.builder()
.filter(new ServletBearerExchangeFilterFunction())
.build();
}@Bean
fun rest(): WebClient {
return WebClient.builder()
.filter(ServletBearerExchangeFilterFunction())
.build()
}当上述 WebClient 被用来执行请求时,Spring Security会查找当前的 Authentication 并提取任何
AbstractOAuth2Token 凭证。然后,它将在 Authorization header 中传播该令牌。
例如:
-
Java
-
Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono(String.class)
.block()this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono<String>()
.block()将调用 other-service.example.com/endpoint,为你添加 bearer token Authorization 头。
在你需要覆盖这一行为的地方,只需自己提供 header,像这样就可以了:
-
Java
-
Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.headers(headers -> headers.setBearerAuth(overridingToken))
.retrieve()
.bodyToMono(String.class)
.block()this.rest.get()
.uri("https://other-service.example.com/endpoint")
.headers{ headers -> headers.setBearerAuth(overridingToken)}
.retrieve()
.bodyToMono<String>()
.block()在这种情况下,filter 将回退并简单地将请求转发给 web filter 的其他部分。
| 与 OAuth 2.0 Client filter function 不同,如果令牌过期,该 filter function 不会尝试更新令牌。要获得这种级别的支持,请使用OAuth 2.0客户端 filter。 |
RestTemplate 的支持
目前没有 ServletBearerExchangeFilterFunction 的 RestTemplate 等价物,但你可以用你自己的拦截器很简单地传播请求的 bearer token。
-
Java
-
Kotlin
@Bean
RestTemplate rest() {
RestTemplate rest = new RestTemplate();
rest.getInterceptors().add((request, body, execution) -> {
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
if (authentication == null) {
return execution.execute(request, body);
}
if (!(authentication.getCredentials() instanceof AbstractOAuth2Token)) {
return execution.execute(request, body);
}
AbstractOAuth2Token token = (AbstractOAuth2Token) authentication.getCredentials();
request.getHeaders().setBearerAuth(token.getTokenValue());
return execution.execute(request, body);
});
return rest;
}@Bean
fun rest(): RestTemplate {
val rest = RestTemplate()
rest.interceptors.add(ClientHttpRequestInterceptor { request, body, execution ->
val authentication: Authentication? = SecurityContextHolder.getContext().authentication
if (authentication != null) {
execution.execute(request, body)
}
if (authentication!!.credentials !is AbstractOAuth2Token) {
execution.execute(request, body)
}
val token: AbstractOAuth2Token = authentication.credentials as AbstractOAuth2Token
request.headers.setBearerAuth(token.tokenValue)
execution.execute(request, body)
})
return rest
}| 与 OAuth 2.0 Authorized Client Manager 不同的是,如果令牌过期,这个过滤拦截器不会尝试更新令牌。要获得这种级别的支持,请使用 OAuth 2.0 Authorized Client Manager 创建一个拦截器。 |
Bearer Token 失效
一个 bearer token 可能由于一些原因而无效。例如,该令牌可能不再是有效的。
在这些情况下,资源服务器会抛出一个 InvalidBearerTokenException。与其他异常一样,这会导致OAuth 2.0 Bearer Token 的错误响应。
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer error_code="invalid_token", error_description="Unsupported algorithm of none", error_uri="https://tools.ietf.org/html/rfc6750#section-3.1"此外,它被发布为 AuthenticationFailureBadCredentialsEvent 事件,你可以像这样 在你的应用程序中监听它。
-
Java
-
Kotlin
@Component
public class FailureEvents {
@EventListener
public void onFailure(AuthenticationFailureBadCredentialsEvent badCredentials) {
if (badCredentials.getAuthentication() instanceof BearerTokenAuthenticationToken) {
// ... handle
}
}
}@Component
class FailureEvents {
@EventListener
fun onFailure(badCredentials: AuthenticationFailureBadCredentialsEvent) {
if (badCredentials.authentication is BearerTokenAuthenticationToken) {
// ... handle
}
}
}