- 前后一体的应用,是这样进行认证的
- 用户向服务端发送验证信息(用户名、密码);
- 服务端验证成功就向用户返回一个sessionid;
- 服务端保存了这个session_id对应的信息,并写入用户的 Cookie;
- 之后的每一次请求,都会通过Cookie,将session_id传回服务端,服务端收到session_id,找到对应的数据,由此得知用户的身份。
- 前后分离之后,是这样进行认证的
bearer token是一种认证方式,是一种安全令牌,拥有 bearer token 的任何一方(被称为 "bearer"),可以以任何方式,和同样持有它的任何一方一样地使用它来访问受 OAuth 2.0保护的资源。
参考:RFC 6750: The OAuth 2.0 Authorization Framework: Bearer Token Usage
- 在java带中,我们一般把bearer token放到请求头的
Authorization
中,我们可以通过正则来判断token的合法性,并返回头中的有效token
private String resolveFromAuthorizationHeader(HttpServletRequest request) {
String authorization = request.getHeader("Authorization");
Pattern authorizationPattern = Pattern.compile("^Bearer (?<token>[a-zA-Z0-9-:._~+/]+=*)$", Pattern.CASE_INSENSITIVE);//<token>的值就是真实的表达式配置的值
if (!StringUtils.startsWithIgnoreCase(authorization, "bearer")) {
return null;
}
Matcher matcher = authorizationPattern.matcher(authorization);
if (!matcher.matches()) {
BearerTokenError error = BearerTokenErrors.invalidToken("Bearer token is malformed");
throw new OAuth2AuthenticationException(error);
}
return matcher.group("token");//从上面的正则表达式中获取token
}