一個介面優雅的實現 Spring Cloud OAuth2 自定義token返回格式

碼猿技術專欄 發表於 2022-06-24
Spring

大家好,我是不才陳某~

最近訂閱《Spring Cloud Alibaba 專案實戰》的朋友針對Spring Security OAuth2.0 想要陳某補充一些知識,如下:

一個介面優雅的實現 Spring Cloud OAuth2 自定義token返回格式

今天這篇文章就來回答其中一個問題:如何自定義token的返回格式?

問題描述

Spring Security OAuth的token返回格式都是預設的,但是往往這個格式是不適配系統,/oauth/token返回的格式如下:

{
    "access_token": token
    "token_type": "bearer",
    "refresh_token": xxxx
    "expires_in": xxx,
    "scope": "xxx",
    "jti": xxxx
    ....................
}

然而此時系統中的統一返回格式為:

{
    "code":xxx
    "data":xxx
    "msg":xxx
}

那麼如何去對預設的格式進行修改呢?

解決方案

其實解決方案還是很多的,據陳某瞭解有如下兩種解決方案:

  1. 使用AOP的方式對/oauth/token這個介面的結果攔截修改
  2. 重定義介面覆蓋預設的

第一種方案呢可以實現,但是對於陳某來說不夠優雅,實現比較簡單,不顯逼格

於是陳某今天介紹第二種方案,一種比較優雅的方式;想要理解第二種方式必須對Spring Security的底層原始碼有一些瞭解。

/oauth/token這個介面定義在哪裡呢?通過原始碼我們知道定義在org.springframework.security.oauth2.provider.endpoint.TokenEndpoint中,如下:

@RequestMapping(value = "/oauth/token", method=RequestMethod.GET)
public ResponseEntity<OAuth2AccessToken> getAccessToken(Principal principal, @RequestParam
Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {}

@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam
Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {}

可以看到針對這個介面定義了兩個,一個是GET請求、一個是POST請求

TokenEndpoint其實就是一個介面,使用註解@FrameworkEndpoint標註,這個註解和@Controller的作用一樣,如下:

@FrameworkEndpoint
public class TokenEndpoint extends AbstractEndpoint {}

那麼知道在哪裡定義的就好辦了,模仿著它這個介面自己重新定義一個覆蓋掉不就好了,如下:

@Api(value = "OAuth介面")
@RestController
@RequestMapping("/oauth")
@Slf4j
public class AuthController implements InitializingBean {

    //令牌請求的端點
    @Autowired
    private TokenEndpoint tokenEndpoint;

    //自定義異常翻譯器,針對使用者名稱、密碼異常,授權型別不支援的異常進行處理
    private OAuthServerWebResponseExceptionTranslator translate;

    /**
     * 重寫/oauth/token這個預設介面,返回的資料格式統一
     */
    @PostMapping(value = "/token")
    public ResultMsg<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam
            Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {
        OAuth2AccessToken accessToken = tokenEndpoint.postAccessToken(principal, parameters).getBody();
        return ResultMsg.resultSuccess(accessToken);
    }
}

可以看到介面內部不需要自己重寫邏輯,只需要呼叫TokenEndpoint中的方法

注意:由於對TokenEndpoint中的端點重寫了,因此前面定義的對使用者名稱、密碼之類的異常捕獲的翻譯類(OAuthServerWebResponseExceptionTranslator)將會失效,需要在全域性異常中進行捕獲

上面是/oauth/token的介面,/oauth/check_token這個校驗token的介面如需自定義也是可以的,對應的類是org.springframework.security.oauth2.provider.endpoint.CheckTokenEndpoint

重寫後程式碼如下:

@Api(value = "OAuth介面")
@RestController
@RequestMapping("/oauth")
@Slf4j
public class AuthController implements InitializingBean {

    @Autowired
    private CheckTokenEndpoint checkTokenEndpoint;

    //自定義異常翻譯器,針對使用者名稱、密碼異常,授權型別不支援的異常進行處理
    private OAuthServerWebResponseExceptionTranslator translate;
    
    /**
     * 重寫/oauth/check_token這個預設介面,用於校驗令牌,返回的資料格式統一
     */
    @PostMapping(value = "/check_token")
    public ResultMsg<Map<String,?>> checkToken(@RequestParam("token") String value)  {
        Map<String, ?> map = checkTokenEndpoint.checkToken(value);
        return ResultMsg.resultSuccess(map);
    }

這種方式是不是很優雅?也很符合Spring Security的設計思想,AOP的方式還要對引數解析,重新包裝

好了,關於測試的話自己搞一搞

總結

本篇文章介紹了認證服務中對token的返回格式自定義,總的來說還是比較簡單的,有興趣的也可以去網上找找關於AOP的方式。

相關文章