堆棧內存溢出
  簡體   English   中英

Spring Security:每個客戶端只保留一個活動令牌

[英]Spring Security: Keep only one active token per client

 原文  2020-01-14 21:16:45       java/ spring-boot/ spring-security

問題描述

我們有一個使用 OAuth 2 client_credentials 保護的 REST API。 現在,每次我們使用 client-id 和 client-credentials 進行身份驗證時,都會生成一個新令牌,舊令牌保持有效(只要它沒有過期)。 有沒有辦法使舊令牌無效? 我們希望為每個客戶端 ID 保留一個令牌。

謝謝!

1 個解決方案

解決方案1
 0  2020-01-15 06:39:34

OAuth 令牌本質上是一種無狀態機制,OAuth 通常用於授權服務器和資源服務器之間存在區別但也可能由一方同時處理這兩個角色的情況。

如果您想設置這樣的約束,您必須保持客戶端對令牌的使用,並且在生成新令牌時在某處保留新令牌,例如像白名單一樣的數據庫表,並且當客戶端想要訪問資源時,他的令牌不僅應該有效也應該與您維護為有效的那個相匹配

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Spring Security中每個請求的不同csrf令牌 Spring 使用 Spring 安全和 Keycloak 啟動,僅提供匿名身份驗證令牌 Spring Security 5.1-使用WebClient獲取客戶端憑證流的令牌 僅對一頁應用 spring 安全性 當 Spring Security 在 Spring Cloud Config Server 上處於活動狀態時,Spring Cloud Config Client 不獲取配置 僅當資源在 spring 安全性中得到保護時,如何檢查訪問令牌? Spring-請求上下文或僅用於存儲訪問令牌的安全上下文? 春季安全oauth2 client_credentials僅流 Kerberos/Spring Security/IE/Active Directory 出現“檢測到缺陷令牌”錯誤(NTLM 而非 Kerberos) Spring 4 Security 配置運行但未激活
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM