|
对于最新的稳定版本,请使用 Spring Security 7.0.4! |
OAuth 2.0 资源服务器凭据Tokens
Bearer Tokens解析
默认情况下,Resource Server会在Authorization头中查找bearerTokens。
但是,您可以验证此Tokens。
例如,您可能需要从自定义头部读取 bearer token。为此,可以将一个ServerBearerTokenAuthenticationConverter的实例编织进DSL中。
自定义 Bearer Token 请求头
-
Java
-
Kotlin
ServerBearerTokenAuthenticationConverter converter = new ServerBearerTokenAuthenticationConverter();
converter.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION);
http
.oauth2ResourceServer(oauth2 -> oauth2
.bearerTokenConverter(converter)
);val converter = ServerBearerTokenAuthenticationConverter()
converter.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION)
return http {
oauth2ResourceServer {
bearerTokenConverter = converter
}
}传播 Bearer Token
现在您已拥有 bearer token,可以将其传递给下游服务。
这可以通过 ServerBearerExchangeFilterFunction 实现:
-
Java
-
Kotlin
@Bean
public WebClient rest() {
return WebClient.builder()
.filter(new ServerBearerExchangeFilterFunction())
.build();
}@Bean
fun rest(): WebClient {
return WebClient.builder()
.filter(ServerBearerExchangeFilterFunction())
.build()
}当上述示例中显示的 WebClient 执行请求时,Spring Security 会查找当前的 Authentication 并提取任何 AbstractOAuth2Token 凭证。
然后,它会在 Authorization 标头中传播该Tokens — 例如:
-
Java
-
Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono(String.class)this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono<String>()该示例将调用other-service.example.com/endpoint,并为您添加bearerTokensAuthorization头。
在需要覆盖此行为的地方,您可以自己提供标头:
-
Java
-
Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.headers(headers -> headers.setBearerAuth(overridingToken))
.retrieve()
.bodyToMono(String.class)rest.get()
.uri("https://other-service.example.com/endpoint")
.headers { it.setBearerAuth(overridingToken) }
.retrieve()
.bodyToMono<String>()在这种情况下,过滤器会回退并将请求转发到其余的Web过滤器链。
|
不像OAuth 2.0客户端过滤函数,此过滤函数不会尝试在Tokens过期时重新获取新的Tokens。 |