Saloon项目中OAuth2插件获取AccessToken时的认证循环问题解析

问题背景

在使用Saloon的OAuth2插件时，开发者可能会遇到一个典型的认证循环问题。当尝试在defaultAuth()方法中通过getAccessToken()获取访问令牌时，由于底层请求也会触发defaultAuth()调用，导致无限递归循环。

问题重现

public function defaultAuth(): ?TokenAuthenticator
{
    $cachedToken = cache()->remember('token', now()->addHour(), function() {
        return $this->getAccessToken()->getAccessToken(); // 导致递归循环
    });

    return new TokenAuthenticator($cachedToken);
}

解决方案分析

方案一：自定义认证器

最优雅的解决方案是创建一个自定义认证器类，通过判断请求类型来避免循环认证：

class CustomAuthenticator implements Authenticator
{
    public function set(PendingRequest $pendingRequest): void
    {
        $request = $pendingRequest->getRequest();

        if ($request instanceof GetAccessTokenRequest) {
           return;
        }

        $connector = $pendingRequest->getConnector();

        $cachedToken = cache()->remember('token', now()->addHour(), function() use ($connector) {
            return $connector->getAccessToken();
        });

        $pendingRequest->authenticate(new TokenAuthenticator($cachedToken));
    }
}

使用方式：

public function defaultAuth(): CustomAuthenticator
{
    return new CustomAuthenticator;
}

方案二：使用独立连接器实例

另一种方法是创建新的连接器实例并设置空认证器：

public function defaultAuth(): ?TokenAuthenticator
{
    $cachedToken = cache()->remember('token', now()->addHour(), function() {
        $connector = static::make();
        
        return $connector
            ->authenticate(new NullAuthenticator)
            ->getAccessToken();
    });

    return new TokenAuthenticator($cachedToken);
}

其中NullAuthenticator是一个不做任何认证操作的实现类。

技术原理

这两种方案都基于相同的原理：在获取访问令牌的请求中避免触发默认认证流程。区别在于：

1. 自定义认证器方案通过请求类型判断来跳过认证
2. 独立连接器方案通过创建新实例和设置空认证器来隔离认证流程

最佳实践建议

1. 缓存策略：建议对访问令牌实施合理的缓存策略，避免频繁请求
2. 错误处理：添加适当的异常处理机制，应对令牌获取失败的情况
3. 令牌刷新：考虑实现令牌自动刷新逻辑，确保长期运行的应用程序不会因令牌过期而中断
4. 性能考量：如果使用独立连接器方案，注意不要频繁创建新实例

总结

在Saloon项目中处理OAuth2认证时，理解认证流程的触发机制非常重要。通过自定义认证器或独立连接器实例，可以有效避免认证循环问题，同时保持代码的清晰和可维护性。开发者应根据具体项目需求选择最适合的方案。