spring-boot - Spring Security Oauth2 使用 @FrameworkEndpoint 注销
问题描述
我试图通过access_token
这样的撤销来注销:
@FrameworkEndpoint
public class SecurityLogoutController {
@Autowired
private ConsumerTokenServices consumerTokenServices;
@DeleteMapping( "/oauth/token" )
public ResponseEntity<Void> logout( WebRequest request ) {
String bearer = "bearer";
String authorizationHeader = request.getHeader( HttpHeaders.AUTHORIZATION );
log.info( "authorization header: {}", authorizationHeader );
if ( authorizationHeader != null && StringUtils.containsIgnoreCase( authorizationHeader, bearer ) ) {
String accessTokenID = authorizationHeader.substring( bearer.length() + 1 );
log.info( "access_token: {}", accessTokenID );
consumerTokenServices.revokeToken( accessTokenID );
}
return ...;
}
}
但是每次我用 Postman 发送这个删除请求时,我都会收到这样的回复:
{
"timestamp": "2018-05-30T01:09:11.710+0000",
"status": 401,
"error": "Unauthorized",
"message": "Unauthorized",
"path": "/oauth/token"
}
端点在幕后受到 Spring Security 的保护,我不知道该端点是如何以及在何处受到保护的。我不明白的是:为什么客户端应该再次进行身份验证,因为access_token
它已经过身份验证?这对我来说似乎很奇怪。
现在,当我对客户端进行身份验证时,Postman 会自动替换Authorization
标头值并将其设置为基本身份验证。就像是:Basic Y2hpY293YS11aXNlcnZpY2U6Y2aXNlcnZpY2U=
需要一些帮助...谢谢
解决方案
这实际上是有道理的,因为已经登录的人可以使用提供的令牌完成注销。浏览器应用程序肯定会传递 client_id 和 secret。
即使我有同样的问题并且在SO上发布了同样的问题。嗯.. 一种出路是您使用 client_id 和 secret 进行基本身份验证,重要的是传递另一个名为 AUTH-TOKEN (或其他内容)的标头,其中包含您要删除的实际令牌的值。这是代码
@RequestMapping(method = RequestMethod.DELETE, value = "/oauth/token")
@ResponseBody
public void revokeToken(HttpServletRequest request) {
String authorization = request.getHeader("AUTH-TOKEN");
if (authorization != null && authorization.contains("Bearer")) {
String tokenId = authorization.substring("Bearer".length() + 1);
System.out.println("tokenId : " + tokenId);
tokenServices.revokeToken(tokenId);
//tokenStore.removeRefreshToken(token);
}
}
推荐阅读
- tensorflow - 如何在张量流中将 TextVectorization 保存到磁盘?
- pyspark - Spark SQL 库
- javascript - 如何在 vue-cli 3.3+ 中同时为资产设置子路径和 CDN?
- python-3.x - Pandas 将具有缺失值的列与计数转换为分布
- css - 如何自定义 ant design 日历高度单元格
- javascript - 如何使用 jquery 或 javascript 根据另一个组合框值制作组合框内容?
- c++ - 这个片段有什么作用?指向自身的静态指针
- javascript - 在异步模式下为 Python 创建锁定/解锁机制
- c++ - std::optional 作为 std::atomic 的模板参数
- scala - Sbt:从根项目调用子项目的源代码