0
當我調用刷新令牌時,Web服務返回新的訪問令牌和舊的刷新令牌,因爲此令牌未過期。有什麼配置,當我打電話刷新令牌這個Web服務返回我新的訪問令牌和新的刷新令牌?spring oauth2熱得到全新的刷新令牌
當我調用刷新令牌時,Web服務返回新的訪問令牌和舊的刷新令牌,因爲此令牌未過期。有什麼配置,當我打電話刷新令牌這個Web服務返回我新的訪問令牌和新的刷新令牌?spring oauth2熱得到全新的刷新令牌
您可以使用AOP通過消除舊的無效令牌,或改變其有效時間,之前生成新的,但如果這樣做,那麼你將要失效的其他客戶使用的所有刷新令牌。
彈簧可以配置爲不重用刷新令牌 - 默認情況下它重用 - 這應該解決的問題。
@Configuration
public class OAuth2Config extends AuthorizationServerConfigurerAdapter {
@Override
public void configure(AuthorizationServerEndpointsConfigurer configurer) throws Exception {
configurer.reuseRefreshTokens(false);
}
}
是否有春天安全的oauth2任何方式發出一次性使用刷新標記並刷新刷新與訪問令牌令牌一起?我有一個Android應用程序在客戶端需要進行身份驗證這一的oauth2服務器,然後他不想在第一次身份驗證後再次登錄。如果刷新令牌過期,那麼他需要提供用戶名和密碼,我需要避免這種情況。 – KJEjava48
您可以使刷新令牌無效日期太過分了,然後攔截生成的令牌以使刷新令牌無效並讓其生成新的無效日期太久的令牌。 –
我如何使刷新令牌無效並生成新的刷新令牌? – KJEjava48