首次身份验证后不调用 OAuth2ClientAuthenticationProcessingFilter

Question

我遇到了 spring security oauth 2 的问题，在第一次连接时，我得到了我的令牌和刷新令牌，一切正常。

但似乎从未检查过令牌，当它过期时不会发出刷新请求，什么也没发生，我仍然通过身份验证。

我调试了这个问题，我注意到我的 OAuth2ClientAuthenticationProcessingFilter 在首次身份验证后从未被调用。

这是我如何定义这个过滤器：

@Bean
    public OAuth2ClientAuthenticationProcessingFilter oAuth2ClientAuthenticationProcessingFilter(){
        OAuth2ClientAuthenticationProcessingFilter filter =  new OAuth2ClientAuthenticationProcessingFilter("/myApp/**|/api/**");
        filter.setRestTemplate(oAuth2RestTemplate);
        filter.setTokenServices(tokenService);
        return filter;
    }

欢迎任何帮助，我在这方面苦苦挣扎了几个小时

Answer 1

一旦用户通过您的应用程序的身份验证（即身份验证设置为 SecurityContext），它将保持身份验证，直到 http 会话过期。是否经过 OAuth2ClientAuthenticationProcessingFilter 或 BasicAuthenticationFilter 或任何其他身份验证过滤器的身份验证都没有关系。

例如：- 如果您已将会话到期时间设置为 30 分钟。如果用户从浏览器登录到您的应用程序并通过 OAuth 2 身份验证对您的应用程序进行身份验证。现在来自浏览器的下一个请求将在 cookie 中设置 JSESSIONID，服务器将从安全上下文中识别会话已经过身份验证，并且不会要求进一步的身份验证。 现在，如果用户在您的应用程序服务器上的会话到期之前转到 Auth 提供服务器并撤销令牌，它不会影响您的应用程序的身份验证。并且用户将保持登录到您的应用程序，直到会话过期（由于 30 分钟不活动或通过清除安全上下文或可能任何其他方式，如清除 cookie 等）。