时间戳

首页 > 解决方案 > 我们可以在 MFP 上注销后使旧的访问令牌失效吗?

java - 我们可以在 MFP 上注销后使旧的访问令牌失效吗?

问题描述

我目前正在使用 IBM Mobilefirst 平台 8.0。目前,我面临一个问题:

在我的 MFP 上,我有 1 个安全检查来保护 1 个适配器。流程是这样的:

  1. 使用安全检查登录
  2. 可以获得访问令牌(我称之为TOKEN_1)
  3. 可以从适配器请求资源
  4. 登出
  5. 这一步,我使用TOKEN_1向适配器请求资源,它返回401未授权(这里是正确的)
  6. 再次使用安全检查登录
  7. 现在可以获得一个新的访问令牌(我称之为TOKEN_2)

此时,我可以同时使用 TOKEN_1 和 TOKEN_2 向适配器请求资源,我认为这不是一件好事(仅针对我的情况和我的观点)

我认为 TOKEN_1 应该不再有效,而只有 TOKEN_2。

所以,我的问题是,在我们使用 MFP 注销后,有什么方法可以使访问令牌永远失效?

非常感谢你。

标签: javajwtibm-mobilefirstmobilefirst-adaptersmfp

解决方案

You can manually clear out the access tokens in the mobile device using the API clearAccessToken.

You can invoke it before or after your logout call. This is to ensure all token related data held in-memory is cleared. This does not clear any token data you have recorded within in your code and stored.

Once you have logged out with WLAuthorizationManager.logout(securitycheck) , the next time you request a protected resource, MFP client SDK always obtains a new token.

推荐阅读