|
对于最新的稳定版本,请使用 Spring Security 6.5.3! |
OAuth 2.0 资源服务器持有者Tokens
不记名Tokens解析
默认情况下,资源服务器会在Authorization页眉。 但是,您可以验证此Tokens。
例如,您可能需要从自定义标头读取持有者Tokens。为此,您可以连接ServerBearerTokenAuthenticationConverter进入 DSL:
自定义持有者Tokens标头
-
Java
-
Kotlin
ServerBearerTokenAuthenticationConverter converter = new ServerBearerTokenAuthenticationConverter();
converter.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION);
http
.oauth2ResourceServer(oauth2 -> oauth2
.bearerTokenConverter(converter)
);val converter = ServerBearerTokenAuthenticationConverter()
converter.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION)
return http {
oauth2ResourceServer {
bearerTokenConverter = converter
}
}不记名Tokens传播
现在您有一个不记名Tokens,您可以将其传递给下游服务。这可以通过ServerBearerExchangeFilterFunction:
-
Java
-
Kotlin
@Bean
public WebClient rest() {
return WebClient.builder()
.filter(new ServerBearerExchangeFilterFunction())
.build();
}@Bean
fun rest(): WebClient {
return WebClient.builder()
.filter(ServerBearerExchangeFilterFunction())
.build()
}当WebClient前面示例中所示的执行请求,Spring Security 会查找当前Authentication并提取任何AbstractOAuth2Token凭据。 然后,它将该Tokens传播到Authorization标头 — 例如:
-
Java
-
Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono(String.class)this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono<String>()前面的示例调用other-service.example.com/endpoint,添加不记名TokensAuthorization标题。
在需要覆盖此行为的位置,您可以自己提供标头:
-
Java
-
Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.headers(headers -> headers.setBearerAuth(overridingToken))
.retrieve()
.bodyToMono(String.class)rest.get()
.uri("https://other-service.example.com/endpoint")
.headers { it.setBearerAuth(overridingToken) }
.retrieve()
.bodyToMono<String>()在这种情况下,筛选器会回退并将请求转发到 Web 筛选器链的其余部分。
|
与 OAuth 2.0 客户端筛选器函数不同,此筛选器函数不会尝试续订Tokens(如果Tokens已过期)。 |