Spring，Oauth2：刷新令牌后身份验证详细信息丢失

Question

我有两个 Spring 应用程序：一个 Authentication Service 和一个 Business Service。

当一个 web 服务用户在 Authentication Service 进行身份验证时，他会得到一个 access_token 和一个 refresh_token。他可以通过将refresh_token 发送到服务来刷新他的access_token。服务实现AuthenticationProvider，这里设置了认证的细节：

@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException { 
    UsernamePasswordAuthenticationToken newAuthentication = ...;
    LinkedHashMap<String, Object> detailsMap = (LinkedHashMap<String, Object>) authentication.getDetails();
    detailsMap.put(...);
    newAuthentication.setDetails(detailsMap);
    return newAuthentication;
}

Business Service 由Oauth2 保护。它的控制器包含

@Secured({ SOME_ROLE })
@RequestMapping(...)
public ResponseEntity<?> doSomething(OAuth2Authentication authentication) {
    LinkedHashMap<String, String> detailsMap = (LinkedHashMap<String, String>) authentication
            .getUserAuthentication().getDetails();

如果 web 服务用户在 Authentication Service 进行身份验证并调用 Business Service，detailsMap 将包含在 authenticate() 中设置的信息。但如果他刷新令牌并再次调用业务服务，detailsMap 将是null。

我希望在刷新令牌后保留 detailsMap。我怎样才能做到这一点？

Answer 1

作为一种解决方法，我们不再使用details，而是将他们的数据保存到UserDetails 实现UserDetailsImplementation。

在AuthenticationProvider 实现的方法Authentication authenticate(Authentication authentication) 中，我们返回一个UsernamePasswordAuthenticationToken，其principal 设置为UserDetailsImplementation。这个UserDetailsImplementation 也在UserDetailsService 实现中返回，该实现在令牌刷新时被调用。

在业务服务中，我们可以通过

访问所需的数据

((UserDetailsImplementation) authentication.getPrincipal()).getDesiredData();