解决OAth2.0的授权token放在header中,导致文件下载验证失效的问题

已于 2022-10-10 18:21:22 修改
阅读量595 收藏
点赞数
文章标签: java spring cloud
于 2022-10-10 18:20:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andGoodLuck/article/details/127249561
版权

1、项目背景

  项目是采用微服务架构,使用spring gateway作为网关,统一做校验权限

2、问题

  OAth2.0的授权token是放在请求头Authorization中的,如果使用浏览器直接下载文件,比如超链接直接下载,就会出现未授权错误。

3、解决办法

 如果能兼容把token放在url后面作为参数传递的话,问题是不是就可以解决了
 直接上代码:

@Bean
    public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
        http.addFilterBefore((exchange, chain) -> {
                    ServerHttpRequest request = exchange.getRequest();
                    String token = request.getHeaders().getFirst("Authorization");
                    if (StringUtils.isEmpty(token)) {
                        Optional<Map.Entry<String, List<String>>> tokenParamsOp = request.getQueryParams().entrySet().stream()
                                .filter(entry -> "Authorization".equals(entry.getKey())).findFirst();

                        if (tokenParamsOp.isPresent()) {
                            String payload = tokenParamsOp.get().getValue().get(0);
                            request = exchange.getRequest().mutate()
                                    .header("Authorization", payload)
                                    .build();
                            exchange = exchange.mutate().request(request).build();
                        }
                    }
                    return chain.filter(exchange);
                }, SecurityWebFiltersOrder.HTTP_HEADERS_WRITER)
                .authorizeExchange()
                .pathMatchers(HttpMethod.OPTIONS).permitAll()
                //其他配置代码略……
                .and().csrf().disable();
        return http.build();
    }

加入webFilter,从url参数中获取到token,然后放入请求头中
问题解决!

一巴掌上墙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
调试代码如何绕过OAuth2验证
五石之瓠 以为大樽 浮于江湖 悠笑人生
10-08 4021
Spring boot 项目本地调试,因为集成了OAuth2.每次调试都要在header里面传token.麻烦。如何跳过去呢。 在源代码: AffirmativeBased.java 的第83行打一个断点。执行到这里的时候手动更改deny的值为0.让他不抛异常就好了。 /* * Copyright 2004, 2005, 2006 Acegi Technology Pty Limited * ...
spring-oauth-server实践:OAuth2.0 通过header 传递 access_token 验证
weixin_34080903的博客
07-19 754
一、解析查找 access_token 1、OAuth2AuthenticationProcessingFilter.tokenExtractor 2、发现来源可以有两处:请求的头或者请求的参数 二、总结 1、如果使用头信息传递,指定方式::Authorization=bearer0206e73d-3e2b-4886-90ff-1e7edc6b34f5 如: http://localhost...
【全栈开发指南】OAuth2授权获取token调试接口的方式
全栈程序猿的专栏
07-07 7865
在我们实际应用接口的调用调试过程,需要用到token或者刷新token,GitEgg支持OAuth2.0协议进行认证授权,这里介绍说明如何通过Postman获取token和refresh_token并进行接口调试。
OAuth认证流程、Access Token以及Refresh Token简介
最新发布
C18298182575的博客
06-07 698
为 Refresh Token 是保存在客户端的服务器上的,当前的 Access Token 失效或者过期时,Refresh Token 就会去获取一个新的 Token,Refresh Token 也是一个对客户端不透明的字符串。很多的网站、APP 都弱化了甚至没有搭建属于自己的账号体系,而是使用其它社会化的第三方登陆的方式,比如在登陆某个网站的时候选择通过 github 或者微信、微博等方式登陆,这样不仅免去了用户注册账号的麻烦,还可以获取用户的好友关系来增强自身的社交功能。
登录后把token加到headers里面
fairy_yang_1的博客
04-25 177
【代码】登录后把token加到headers里面。
vue 导出文件(下载文件),分需要token校验和不需要token校验两种情况
qq_41775006的博客
04-21 1368
下载文件需要通过 标签实现 header 需携带 token 校验 // 导出 exportFile(){ var xhr = new XMLHttpRequest(); var url = this.baseUrl + '/cloudnotes/partyMembers/export?orgId=' + this.userInfo.orgId xhr.open('get', url, true); xhr.responseType = "blob"; // 返回
xhr get获取文件流下载文件_下载文件需要带token验证的文件流的解决办法
weixin_39911567的博客
11-23 1635
项目有时需要下载文件 比如 pdf 或者 Excel时,一般是直接点击一个连接就可以直接下载,这一般是文件流的下载方式。但有个缺点就是只要拿到这个文件流地址,在什么地方都可以直接下载,安全性不好,此时就需要带上token进行验证,通过一个请求带上其token,然后把返回值进行文件流下载即可。前端在处理这种情况时,经过不断的试验,总结了一下,可以使用blob对象来接收文件流。首先将请求配置的re...
Spring Security Oauth2 permitAll()方法小记
qq_25248407的博客
11-08 1994
前言 上周五有网友问道,在使用spring-security-oauth2时,虽然配置了.antMatchers("/permitAll").permitAll(),但如果在header 携带 Authorization Bearer xxxx,OAuth2AuthenticationProcessingFilter还是会去校验Token的正确性,如果Token合法,可以正常访问,否则,请求失...
云原生小课堂|Envoy请求流程源码解析(三):请求解析
alauda_andy的博客
03-24 1175
Envoy 是一款面向 Service Mesh 的高性能网络代理服务。本期【云原生小课堂】将继续为您分享Envoy的outbound方向下篇,包含:接收请求、发送请求、接收响应、返回响应。
vue实现带token校验下载文件
u010000915的博客
09-10 3760
在做一个前台vue,后台是java的项目,有导出Excel文件的功能。开始做的导出Excel功能不需要带token,这种方式是及其不合理的,数据容易泄露。经过一番折腾实现了Vue带token校验下载文件流的功能。 不带token的下载方法: 不带token下载文件,实现特别简单直接使用<a> 标签,标签的href属性填写后台接口或服务器上文件地址即可。 <a:href="url">导出</a> 带token校验的方法: 文件在网络传输都..
oauth-wx:OAth2.0之微信登录授权
05-30
OAth2.0之微信登录授权 协议介绍 当你开始使用一个网站还是手机应用的时候, 那么第一步很有可能是从注册开始的, 从最初一丝不苟的填写一串表单注册,到使用短信验证码注册, 体验越来越好, 不过这个时候也会带来几个...
java-facebook-api-oauth2.0:此存储库包含使用Javaoath2.0入门所需的所有必需项目文件。
03-09
"java-facebook-api-oauth2.0"这个项目是专门为那些希望在Java应用程序实现Facebook OAuth2.0授权的开发者准备的。让我们逐步了解这个过程涉及的关键概念和步骤。 OAuth2.0是广泛使用的开放标准,用于授权第三...
Ecom:电子商务网站后端API。 DDD(CQRS)与.NET Core和MongoDB以及OAth2.0一起用于身份验证授权
02-04
问题陈述:(域:电子商务) 该网站应迎合已登录的客户用户。 产品目录模块: 应该可以对产品进行分类。每个产品都有以下字段: 标题b。 说明c。 图像d。 价钱 如果用户不进行特定搜索查询,则整个目录都是可见...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
SpringBoot整合OAuth2和Gateway实现网关登录授权验证是一个复杂而关键的过程,它涉及到现代微服务架构的安全性设计。OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为...
spring security oauth 2.0 例子
08-28
在这个例子,我们将深入探讨如何在Spring Security OAuth 2.0使用客户端模式,并且如何将`client_id`存储在数据库,而非硬编码在配置文件里。 OAuth 2.0 是一种授权框架,允许第三方应用(客户端)在用户许可...
Spring Cloud Gateway 如何动态添加请求参数
SharingOfficer的博客
12-04 4257
背景介绍 项目使用的技术栈是Spring Cloud,有个功能需求是: 业务上,在Spring Cloud Gateway模块的服务已经可以获取到token,并且已实现鉴权通过后从token获取到身份信息; 现在希望把身份信息,填充到request参数里面(这里把多个数据封装成一个BaseDTO对象,用于扩展)。 后续处理具体业务的微服务模块,在controller层的方法传参,只要继承了BaseDTO对象,就可以直接获取到身份信息,用于业务逻辑处理。 问题描述 简单来说,问题就是 Spring
微服务网关过滤器向request添加header方法
nameverygood的博客
02-16 630
懒人笔记
Spring Cloud Gateway -- 修改RequestBody和Header
a294634473的博客
05-31 1万+
Spring Cloud Gateway -- 修改RequestBody和Head前言读取和修改RequestBody修改Head添加路由 前言 目前项目有个需求,前端POST请求需要以xml形式传输,后端接口有些返回的是JSON格式有些返回的XML格式并且由于网络架构的需求,需要一个间平台来处理这些请求。最终觉得利用Spring Cloud Gateway来实现。前端统POST请求统一用AJ...
修改request请求的header请求头
热门推荐
HEYAha的博客
04-26 2万+
问题和场景 默认http传输不能途修改http内容, 但是有很多时候都需要去修改请求头信息来达到某些目的,比如我这个情况: 我需要去修改Authorization请求头来替换token,我在网上看了好多博客都是HttpServletRequest类的或者是想用反射解决,但是我这里(ServerHttpRequest)并不适用,于是我去求助大佬后得出2个解决方案,并且ServerHttpRequest和HttpServletRequest都适用。 解决 方案一 直接开放权限 这个方...
springboot oath2.0 sso demo
05-12
该示例实现了基于Oauth2.0协议的认证授权流程,当用户进行访问应用时,需要携带访问令牌授权才能够访问。此外,该演示还实现了SSO功能,功能能够让已认证的用户在不同的系统实现单点登录功能,无需重新输入帐号和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值