Java Spring安全性:每个客户端只保留一个活动令牌
我们有一个使用OAuth 2客户端\u凭据保护的REST API。 现在,每次我们使用客户机id和客户机凭据进行身份验证时,都会生成一个新令牌,而旧令牌保持有效(只要它没有过期)。 有没有办法使旧令牌失效?我们希望每个客户端id保留一个令牌Java Spring安全性:每个客户端只保留一个活动令牌,java,spring-boot,spring-security,Java,Spring Boot,Spring Security,我们有一个使用OAuth 2客户端\u凭据保护的REST API。 现在,每次我们使用客户机id和客户机凭据进行身份验证时,都会生成一个新令牌,而旧令牌保持有效(只要它没有过期)。 有没有办法使旧令牌失效?我们希望每个客户端id保留一个令牌 谢谢 OAuth令牌本质上是一种无状态机制,当授权服务器和资源服务器之间存在区别时,通常使用OAuth,但也可能有一方同时处理这两个角色 如果您想设置这样的约束,您必须维护客户端对令牌的使用,并且在生成新令牌时,将新令牌保留在某个位置,例如数据库表(如白名单
谢谢 OAuth令牌本质上是一种无状态机制,当授权服务器和资源服务器之间存在区别时,通常使用OAuth,但也可能有一方同时处理这两个角色
如果您想设置这样的约束,您必须维护客户端对令牌的使用,并且在生成新令牌时,将新令牌保留在某个位置,例如数据库表(如白名单),并且当客户端希望访问资源时,其令牌不仅应是有效的,还应与您维护为有效的令牌相匹配每个客户端id(而不是客户端)有一个活动令牌。