那些遇到过的问题

注销后删除access_token

jav*_*fun 2 spring spring-security access-token oauth-2.0

我有一个小问题.

目前,我的Spring配置使用DefaultTokenServices(由spring-security-oauth2-2.0.0.M3.jar提供).它正确生成access_token.

现在我要做的是在我注销时取消/删除/删除/撤销此令牌.

在security.xml中,我在http标记中配置了注销:

<sec:logout logout-url="/logout" logout-success-url="/auth" invalidate-session="true" delete-cookies="true" />

并且重定向成功.但是,如果我写一个测试进行登录,注销,并且在我尝试使用此access_token访问受限制的路径后,我可以获得成功请求,但我希望未经授权的错误.为什么?

如何配置注销,自动删除access_token以强制重新登录?

Sha*_*eep 5

access_token的生命周期独立于授予客户端访问权限的用户的登录会话.OAuth2没有用户登录或注销或会话的概念,因此您希望注销撤销令牌这一事实似乎表明您误解了OAuth2的工作原理.你应该在你的问题中澄清为什么你希望事情以这种方式工作以及为什么你需要OAuth.

如果您真的想要这种行为,那么您必须自己编写代码(LogoutHandler例如,在自定义的Spring Security中),但令牌的生命周期通常由其到期时间决定.令牌撤销通常是提供给用户的单独界面,允许他们过早地撤销对一个或多个客户端的资源访问 - 类似于Twitter的第三方应用程序访问.

归档时间:

查看次数:

6511 次

最近记录:

9 年,4 月 前
相关归档
Spring Security:注销时为404 29
"CSRF检测到"与Omniauth和Google合作 14
关于线程安全的困惑 - SimpleDateFormat示例 11
Junit 5 @MockBean 中的 NullPointerException 11
为什么Spring的@Configurable有时可以工作,有时候不工作? 10
适用于Spring启动项目的AWS beanstalk上的Java 11 9
Spring Boot 应用程序启动后失败 - 尝试调用不存在的方法。尝试是从以下位置进行的 8
如何将DTO映射到现有的JPA实体? 7
如何使用Keycloak和PKCE流程实现React SPA身份验证? 5
从邮箱中读取时出错 3
难疑归档
使用Git将最近的提交移动到新分支 4647
正则表达式匹配不包含单词的行? 4121
如何在JavaScript中创建字符串大写的第一个字母? 3565
在JavaScript中循环遍历数组 2940
如何克隆或复制列表? 2289
如何在不重新加载页面的情况下修改URL? 2221
为什么Python 3中的"1000000000000000在范围内(1000000000000001)"如此之快? 1890
如何从git repo中删除文件? 1795
如何从其他线程更新GUI? 1331
如何将命令行参数传递给rake任务 1065