|
此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.4.1! |
OAuth 2.0 资源服务器持有者令牌
Bearer Token 解析
默认情况下,Resource Server 在Authorization页眉。
但是,这是可以自定义的。
例如,您可能需要从自定义标头中读取不记名令牌。
为此,您可以将ServerBearerTokenAuthenticationConverter到 DSL 中,如以下示例所示:
自定义 Bearer Token 标头
-
Java
-
Kotlin
ServerBearerTokenAuthenticationConverter converter = new ServerBearerTokenAuthenticationConverter();
converter.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION);
http
.oauth2ResourceServer(oauth2 -> oauth2
.bearerTokenConverter(converter)
);val converter = ServerBearerTokenAuthenticationConverter()
converter.setBearerTokenHeaderName(HttpHeaders.PROXY_AUTHORIZATION)
return http {
oauth2ResourceServer {
bearerTokenConverter = converter
}
}Bearer Token 传播
现在您已经拥有了不记名令牌,将其传递给下游服务可能会很方便。
这很简单,因为ServerBearerExchangeFilterFunction,您可以在以下示例中看到:
-
Java
-
Kotlin
@Bean
public WebClient rest() {
return WebClient.builder()
.filter(new ServerBearerExchangeFilterFunction())
.build();
}@Bean
fun rest(): WebClient {
return WebClient.builder()
.filter(ServerBearerExchangeFilterFunction())
.build()
}当上述WebClient用于执行请求,Spring Security 将查找当前的Authentication并提取任何AbstractOAuth2Token凭据。
然后,它将在Authorization页眉。
例如:
-
Java
-
Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono(String.class)this.rest.get()
.uri("https://other-service.example.com/endpoint")
.retrieve()
.bodyToMono<String>()将调用other-service.example.com/endpoint,添加 Bearer TokenAuthorization标头。
在需要覆盖此行为的地方,只需自己提供 Headers 即可,如下所示:
-
Java
-
Kotlin
this.rest.get()
.uri("https://other-service.example.com/endpoint")
.headers(headers -> headers.setBearerAuth(overridingToken))
.retrieve()
.bodyToMono(String.class)rest.get()
.uri("https://other-service.example.com/endpoint")
.headers { it.setBearerAuth(overridingToken) }
.retrieve()
.bodyToMono<String>()在这种情况下,过滤器将回退,只需将请求转发到 Web 过滤器链的其余部分。
| 与 OAuth 2.0 客户端筛选器函数不同,如果令牌过期,此筛选器函数不会尝试续订令牌。 要获得此级别的支持,请使用 OAuth 2.0 客户端过滤器。 |