[英]Spring Boot Security - Use token from Cookies if Authorization header missing
我目前針對我的授權服務器的 JWK 驗證我的請求。 我在 spring-boot 2.3 上使用spring-boot-starter-oauth2-resource-server package。 JWT 從Authorization: Bearer <token> header 中取出並針對 JWK 端點進行驗證。 我的安全配置如下所示:
安全配置.java
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
protected Environment env;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
http.authorizeRequests().antMatchers("/logs").permitAll();
http.authorizeRequests().antMatchers("/", "/api/**").authenticated();
http.oauth2ResourceServer().jwt();
}
}
應用程序屬性
spring.security.oauth2.resourceserver.jwt.jwk-set-uri=https://auth.work.com/v1/jwk
外部用戶沒有Authorization: ... header 在他們的請求中,而是有以下 2 個 cookies 構成 JWT:
auth.token_type = Bearer
auth.access_token = <token>
有沒有辦法從 cookies 中提取 JWT 並在授權服務器上進行Authorization: ... header 丟失? 我可以在嘗試授權之前提取 cookies 並在請求中添加 header 嗎? 或者它甚至可能是身份驗證鏈中的第二種方法。
我發現了自定義令牌解析器並最終創建了一個來驗證 header 和 cookie。 我不確定這是否是最干凈的解決方案,但它確實有效。
我對此的唯一問題是它不會自動驗證Authorization: Bearer... header 了,所以我也必須為其添加代碼。
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
http.authorizeRequests().antMatchers("/logs").permitAll();
http.authorizeRequests().antMatchers("/", "/api/**").authenticated();
http.oauth2ResourceServer().jwt().and().bearerTokenResolver(this::tokenExtractor);
}
public String tokenExtractor(HttpServletRequest request) {
String header = request.getHeader(HttpHeaders.AUTHORIZATION);
if (header != null)
return header.replace("Bearer ", "");
Cookie cookie = WebUtils.getCookie(request, "auth.access_token");
if (cookie != null)
return cookie.getValue();
return null;
}
}
我認為您可以使用自定義過濾器,攔截請求並從 HttpServletRequest 獲取 cookies。
@Override
public void doFilter(
ServletRequest request,
ServletResponse response,
FilterChain chain) throws IOException, ServletException {
Cookie[] cookies = request.getCookies();
// Your validation logic
}
只需將其添加到 Spring 安全過濾器鏈即可。
更多細節如何在這里做: https://www.baeldung.com/spring-security-custom-filter
如何在所有請求中傳遞授權令牌 header - Spring 啟動 java
[英]How to pass the authorization token in all request header - Spring boot java
React + Spring Boot:無法從 Header 獲取 Authorization 值
[英]React + Spring Boot: Can't get Authorization value from Header
Spring 安全性:使端點 controller 只能通過授權訪問:承載令牌 header
[英]Spring Security: make endpoint controller only accessible with Authorization: Bearer token header
如何使用Spring Boot Security從Facebook獲取訪問令牌
[英]How to get access token from facebook using spring boot security
如何在重定向中添加授權 header (Spring Security)
[英]How to add Authorization header in redirect (Spring Security)
后端Angular 2 + Spring Boot中未收到授權標頭
[英]Authorization header is not receiving in the backend Angular 2 + Spring Boot
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.