使用OAuth2在Javascript中下载文件

Question

我正在开发一个单页面，在客户端使用Javascript + AngularJS，在服务器端使用Spring MVC + Spring Security OAuth2。 Spring MVC充当REST控制器，用于来自页面的任何AJAX请求。

对于授权，脚本会为每个AJAX请求发送一个“Authorization：Bearer ...”标头。这在请求少量数据时工作正常。 下载XML文件（用户数据导出）我通过AJAX下载它们，使用的OAuth2头和创建BLOB，以便保存在浏览器中的文件：

var blob = new Blob([data.data], {'type': "text/xml"}); 
var a = document.createElement("a"); 
a.href = window.URL.createObjectURL(blob); 
a.download = "downloaded-file-" + new Date().toISOString() + ".xml"; 
a.click(); 

这种方法有效，但

• 使用RAM等不适合大文件下载
• 没有显示正确的进度/加载条

所以，问题是：是否有一个赌注用OAuth2授权下载文件的方式？ Javascript不允许在重定向时指定标头，而且OAuth不允许通过URL参数指定授权标记。我想任

• 加入了特殊的Spring MVC控制器的方法来提供从URL编码的令牌重定向到一个头编码的HTTP请求
• 添加额外的春季安全过滤器的URL，以允许提取从URL中的令牌参数
• 转移到基于cookie的授权的OAuth2

，而不是如果没有人有类似的问题，请你分享你的方法解决这个问题？

Answer 1

原来它很容易在春季，安全的oauth2 2.0.7.RELEASE向：

只需通过访问令牌作为access_token请求参数：

window.open("service/export?access_token=" + access_token); 

现在，这就会出现在下载历史记录中以明文形式存取令牌，因此为了确保安全，应该正确实施“注销”选项，否则下载操作必须以“表格帖子”的形式完成。

Answer 2

如果我是你的话，我会用饼干去 - 它需要所有的麻烦。我最近写了一些博客来展示它是多么容易（例如https://spring.io/blog/2015/01/20/the-resource-server-angular-js-and-spring-security-part-iii）。人们对“无状态”应用程序太过担心。