本站内所有文档均为中英对照文档,点击中文可以显示英文。此提醒连续关闭5次后,将不再显示。
OAuth 2.0 资源服务器承载令牌
Bearer Token 解析
默认情况下,资源服务器会在 Authorization 头中查找 bearer 令牌。但是,你可以验证此令牌。
例如,你可能需要从自定义头中读取 bearer token。为此,你可以将 ServerBearerTokenAuthenticationConverter 的一个实例连接到 DSL 中:
- Java
- Kotlin
ServerBearerTokenAuthenticationConverter converter = new ServerBearerTokenAuthenticationConverter();
converter.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION);
http
.oauth2ResourceServer(oauth2 -> oauth2
.bearerTokenConverter(converter)
);
val converter = ServerBearerTokenAuthenticationConverter()
converter.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION)
return http {
oauth2ResourceServer {
bearerTokenConverter = converter
}
}
Bearer Token 传播
现在你已经有了一个承载令牌,你可以将其传递给下游服务。可以使用ServerBearerExchangeFilterFunction来实现这一点:
- Java
- Kotlin
@Bean
public WebClient rest() {
return WebClient.builder()
.filter(new ServerBearerExchangeFilterFunction())
.build();
}
@Bean
fun rest(): WebClient {
return WebClient.builder()
.filter(ServerBearerExchangeFilterFunction())
.build()
}
当前面示例中的 WebClient 执行请求时,Spring Security 会查找当前的 Authentication 并提取任何 AbstractOAuth2Token 凭证。然后,它会在 Authorization 头中传播该令牌 —— 例如:
- Java
- Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono(String.class)
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono<String>()
上述示例调用了 [other-service.example.com/endpoint](https://other-service.example.com/endpoint),并为你添加了带有 bearer token 的 Authorization 头。
在需要覆盖此行为的地方,您可以自行提供标题:
- Java
- Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.headers(headers -> headers.setBearerAuth(overridingToken))
.retrieve()
.bodyToMono(String.class)
rest.get()
.uri("https://other-service.example.com/endpoint")
.headers { it.setBearerAuth(overridingToken) }
.retrieve()
.bodyToMono<String>()
在这种情况下,过滤器会回退并将请求转发到剩余的 web 过滤器链上。
备注
与 OAuth 2.0 Client 过滤器函数 不同,此过滤器函数不会尝试续订已过期的令牌。