【发布时间】:2020-04-21 20:10:30
【问题描述】:
我正在使用 Spring oath 来保护我的 RESP API 并成功生成了 oauth 令牌。现在我被困在下面提到的两个地方。
1) 注销:我没有在规范中找到任何可以调用以注销/使令牌无效的 URL。我得到的一个选择是编写自己的注销实现并从该方法的令牌存储中删除令牌。但是有没有其他方法可以像我们检索令牌一样注销/使令牌无效。
2) 验证令牌:是否有任何网址可以传递我的令牌并验证令牌是否有效。一种方法是编写自己的方法,我将从中验证令牌。如果自己的方法返回 200,则返回有效令牌,否则返回无效令牌(401)。但是想知道,Spring OAUth 是否提供任何这样的 url。
【问题讨论】:
-
您使用的是什么令牌存储(jdbc、inmemory、jwt)?如果说 JwtTokenStore,那么它永远不会保留令牌,并且只在客户端点击注销默认 url,然后在成功时,重定向到授权服务器注销 url 并处理成功注销并重定向到客户端。至于 token 的验证。可以使用 /oauth/check_token 端点。