java - Spring Boot Oauth2 注销端点-6ren

java - Spring Boot Oauth2 注销端点

转载作者：塔克拉玛干更新时间：2023-11-02 19:51:59

25

4

我有一个 Spring Boot REST 应用程序，分为资源服务器和 Auth 服务器 - 受无状态 Oauth2 安全保护。

我正在使用 spring security 和 Oauth2 启动器:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.security.oauth</groupId>
            <artifactId>spring-security-oauth2</artifactId>
        </dependency>

资源服务器使用我的 application.properties 中的这一行简单地链接到 auth 服务器:

security.oauth2.resource.userInfoUri: http://localhost:9000/my-auth-server/user

授权服务器在数据库中存储使用凭据并具有以下配置:

@Configuration
@EnableAuthorizationServer
public class OAuth2Config extends AuthorizationServerConfigurerAdapter {

    @Autowired
    @Qualifier("userDetailsService")
    private UserDetailsService userDetailsService;

    @Autowired
    private AuthenticationManager authenticationManager;

    @Value("${gigsterous.oauth.tokenTimeout:3600}")
    private int expiration;

    // password encryptor
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer configurer) throws Exception {
        configurer.authenticationManager(authenticationManager);
        configurer.userDetailsService(userDetailsService);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory().withClient("gigsterous").secret("secret").accessTokenValiditySeconds(expiration)
                .scopes("read", "write").authorizedGrantTypes("password", "refresh_token").resourceIds("resource");
    }

}

和

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * Constructor disables the default security settings
     */
    public WebSecurityConfig() {
        super(true);
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/login");
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

}

一切正常，我可以获取访问 token 并使用它从我的资源服务器获取 protected 资源:

curl -X POST --user 'my-client-id:my-client-secret' -d 'grant_type=password&username=peter@hotmail.com&password=password' http://localhost:9000/my-auth-server/oauth/token

但是，我不知道如何处理注销(一旦用户决定注销就使 token 无效)。我假设会提供一些端点来使 token 无效，或者我是否必须创建自己的端点来处理它？我不需要指定任何类型的 TokenStore bean，所以我不确定如何使当前 token 无效。如果有任何见解，我会很高兴 - 我发现的大多数教程都解释了如何使用 session 或 JWT token 处理此问题。

最佳答案

我遇到了这个问题并在 this post 上发布了解决方案.

它基本上是在从客户端应用程序注销后重定向到授权服务器上的端点，然后在那里以编程方式注销。

关于java - Spring Boot Oauth2 注销端点，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/40563106/

25

4

0

文章推荐： java - Spring 和 WildFly Infinispan 缓存查找

文章推荐： android - 仅在 listView 子项出现后为它们设置动画

文章推荐： java - 递归大小法链表

java - Spring boot 2 - Actuator 端点，where is/beans 端点
在 spring boot 2 应用程序中，我正在尝试访问执行器端点/beans，就像我之前在 Spring boot 1.5.* 应用程序中所做的那样。但我做不到。此外，我没有在 log.INFO
java - 在 REST API 中创建 PUT 和 POST 端点，而不创建 GET 端点？
我正在为资源 items 编写端点，它是 applications 的子资源，如下所示:applications/{:id}/items。项目和应用程序都具有除名称之外的其他属性。我创造了 GET
具有不同权限的 RESTful 端点
我正在创建一个 API，其中基于经过身份验证的用户可以更改对象的不同属性的权限。解决这个问题的常用方法是什么？我应该有这样的端点吗 /admin/users 和 /users 具有不同的 API
具有非根路径的 gRPC 端点
也许(希望如此)我错过了一些非常简单的东西，但我似乎无法弄清楚。我有一组我想放在 nghttpx 代理后面的 gRPC 服务。为此，我需要能够使用非根 url 上的 channel 配置我的客户端。
用于银行卡法币存款的币安 api 端点？
我没有找到法定存款的历史记录(来自银行卡)，这里只有加密存款:https://prnt.sc/ttdwc2= ) 例如，在我的银行帐户界面中，我在 5 月 12 日找到了存款，但在这里找不到...
所有可用指标的 Prometheus 端点
我很好奇普罗米修斯的工作原理。使用 Prometheus 界面，我可以看到一个下拉列表，我认为其中包含所有可用的指标。但是，我无法访问列出所有抓取的指标的指标端点。 http://targethost
用于文件下载的 GraphQL 端点
是否可以从 apollo-server-express 上的 GraphQL 端点触发浏览器中的文件下载？应用？我有一个用标准 express 写的端点 app.get函数(见下文)，但我想利用 G
用于所有媒体上传的 Strapi 端点
有谁知道在一个请求中获取您上传到媒体库的所有图像的端点吗？我将 next js 与 Strapi 一起使用，需要一种方法来从媒体库中获取所有图像，但似乎没有任何相关文档最佳答案 /api/上传 GE
具有优先级的 WCF 端点
关闭。这个问题需要更多focused .它目前不接受答案。想改进这个问题吗？更新问题，使其只关注一个问题 editing this post . 关闭 6 年前。 Improve this qu
python - Heroku 端点
我编写了一个简单的 HTTP 监听器并将其部署在 Heroku 应用程序中。我确保在 $PORT 中绑定(bind)端口。现在，我尝试使用 url name-of-my-app.herokuapp.
android - 验证消息来自特定的应用程序/端点
我正在尝试构建一个安全系统，用于将数据从客户端 Android 应用程序传输到运行 PHP 的网络服务器。我想做的是确保系统是加密安全的，这样来自应用程序的消息可以被验证为实际上来自应用程序本身，而
gousb - 不是 OUT 端点
我是 Go 编程语言的新手。尝试使用 gousb访问爱普生收据打印机。因此，我从存储库中获取了一些示例代码，并对其进行了一些调整，以验证我是否可以访问打印机。我可以看到打印机并枚举端点。我收到此输
ios - 我们如何模拟 azure 端点？
我正在使用 azure API 端点。 ....azure-api.net/...。当我尝试使用 Charles 代理查看 HTTP 请求/响应时，HTTP 响应为空。当我关闭代理时，该请求有效。我
azure - 在元数据文档中找不到 WsTrust 端点
我正在关注这个tutorial了解用户成功登录后如何获取 token 。到目前为止我已完成的步骤: 我已使用此 URL 注册了自己(用户名和密码):https://MyCompany.b2clogi
soap - 如何连接到 SVC 端点？
给定一个以 .svc 结尾且应该运行 SOAP 网络服务的 URL，我如何从中获取一些数据？我试过: 通过网络浏览器访问它通过 Python 的库 Zeep 访问它通过 Microsoft 实用
rest - 有没有办法保护公共(public)端点？
我认为公共(public) REST API(例如注册端点)无法验证用户身份是否正确？例如，我们的端点应该只接受来 self 们的移动应用程序和 future 网络应用程序的请求。我很确定这在逻辑上
.net - 如何硬编码服务的默认 WCF 端点？
在自托管服务中，我想使用 App.config 中指定的端点(如果存在)，或者如果 App.config 为空则使用代码中指定的默认端点。我该怎么做？编辑:澄清一下，这是在服务器(服务)端使用 Se
android - 如何配置实时开发人员通知以使用我的后端(https 端点)？
我需要在我的后端服务器中实现实时开发者通知，以了解我的用户所做的任何购买修改(暂停帐户、续订订阅等)。我的后端服务器是用 Delphi 制作的，没有现成的 Delphi 库，但是，我可以制作一个 HT
kubernetes - 如何连接到 Kubernetes 端点？
我创建了一个 Kubernetes 服务: [root@Infra-1 kubernetes]# kubectl describe service gitlab Name: git
具有大量输入数据的 REST 端点 (GET)
我正在开发一个应用程序，我需要将对象列表传递给 REST 端点，该端点将进行一些计算并将结果返回给调用者。问题更多是关于如何处理这种情况的哲学问题？在 GET 请求中传递大量有效负载是一个坏主意。

首页

博学

6Ren·AI

商城

java - Spring Boot Oauth2 注销端点