OAuth2 Token 一定要放在请求头中吗？

程序员北边 05-10 712

前言：

今天姐妹们对“请求头放token”可能比较关怀，姐妹们都想要知道一些“请求头放token”的相关内容。那么小编在网上汇集了一些关于“请求头放token””的相关知识，希望各位老铁们能喜欢，大家快快来了解一下吧！

Token 一定要放在请求头中吗？答案肯定是否定的，本文将从源码的角度来分享一下 spring security oauth2 的解析过程，及其扩展点的应用场景。

Token 解析过程说明

当我们使用 spring security oauth2 时, 一般情况下需要把认证中心申请的 token 放在请求头中请求目标接口，如下图 ①

spring security oauth2 通过拦截器获取此消息 token 完成令牌到当前用户信息（UserDetails）的转换。

OAuth2AuthenticationProcessingFilter.doFilter

public class OAuth2AuthenticationProcessingFilter{    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,            ServletException {        try {            // 1\. 根据用户请求解析令牌，组装预登陆对象            Authentication authentication = tokenExtractor.extract(request);            if (authentication == null) {                // 若是预登陆状态为空，把无状态登录清空                if (stateless && isAuthenticated()) {                    SecurityContextHolder.clearContext();                }            }            else {                // 2\. 根据token 来做真正的认证登录 Provier                Authentication authResult = authenticationManager.authenticate(authentication);                // 3\. 登录成功逻辑                eventPublisher.publishAuthenticationSuccess(authResult);                SecurityContextHolder.getContext().setAuthentication(authResult);            }        }        catch (OAuth2Exception failed) {            // 异常通知逻辑  Spring Event            ...            return;        }        chain.doFilter(request, response);    }}

我们主要来关注第一步根据用户请求解析令牌，组装预登陆对象

来看默认实现 BearerTokenExtractor

public class BearerTokenExtractor implements TokenExtractor {    @Override    public Authentication extract(HttpServletRequest request) {        // 1\. 解析token        String tokenValue = extractToken(request);        if (tokenValue != null) {            // 2\. 创建一个authentication 返回            PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, "");            return authentication;        }        return null;    }    protected String extractToken(HttpServletRequest request) {        // 1.1 优先从请求header 获取token        String token = extractHeaderToken(request);        // 1.2 若是请求token 中没有，则获取请求参数中的 access_token 参数        if (token == null) {            token = request.getParameter(OAuth2AccessToken.ACCESS_TOKEN);        }        return token;    }}

扩展点丰富获取 token 渠道，个性化处理.例如掘金的 X-Legacy-Token 而非必须是 Authorization请求参数中携带 access_token 参数也能被正确解析处理重写 BearerTokenExtractor 解决，若请求携带 token 无论接口是否被设置 permitAll 都会被拦截判断的问题

本文地址：http://www.longkongtuishu.com/cafe7BmsKDVIDAQ.html

标签： #请求头放token #token放到header