我有一些用户正在使用有效的 JWT 令牌访问某些 API,但由于他们的任务所花费的时间比令牌过期时间长得多,当他们再次访问 API 时,JWT 令牌已经过期。他们不应该刷新他们的令牌,即使令牌过期,他们也必须使用相同的令牌并访问某些 API。
我正在使用spring.security.oauth2.resourceserver 向我们的授权服务器进行身份验证。
所以,我想要实现的是,如果令牌来源正确且格式良好,即使令牌已过期,我也需要接受请求。
是的,我知道这似乎不是一个好方法,但如果可能,请教育我。
我已经从here 中读到了ClientHttpRequestInterceptor,并深入研究了resource server 的源代码,但找不到合适的方法。
【问题讨论】:
标签: spring-boot spring-security jwt spring-security-oauth2 spring-security-rest
我完全建议您不要这样做,因为如果某个恶意用户从某人那里窃取了 JWT,他将能够永远请求受保护的资源,因为令牌不会过期。在这种情况下您应该做的是刷新令牌,请前往docs for refreshing the access token。
但出于知识目的,可以提供自定义 JwtDecoder,它可以按照您想要的方式验证 JWT。
您应该使用您的特定配置公开JwtDecoder 类型的@Bean,如下所示:
@Bean
public JwtDecoder jwtDecoder() {
OAuth2TokenValidator<Jwt> myCustomJwtValidator = new MyImplementationOfOAuth2TokenValidator();
NimbusJwtDecoder jwtDecoder = NimbusJwtDecoder.withPublicKey(myPublicKey).build();
jwtDecoder.setJwtValidator(myCustomJwtValidator);
return jwtDecoder;
}
您可以在documentation 上找到更多详细信息。
【讨论】: