我们正在一个Grails 3.2.12项目中使用Spring Security Core(3.0.0)和Spring Security Rest插件(2.0.0.M2)进行用户授权和访问控制。
现在,我们需要采取一种方法在系统不活动15分钟后终止用户访问权限。
该项目被配置为在登录后15分钟使访问令牌过期,并且刷新令牌进程处于非活动状态,因此,用户需要再次登录。
问题在于刷新令牌默认情况下永不过期,如果我们实施刷新令牌过程,则用户访问权限永不过期。
我们计划的解决方案是什么:我们将访问令牌的到期时间更改为5分钟,并为刷新令牌创建的过期时间设置为15分钟。
有什么方法可以在grails spring安全性其余插件上为刷新令牌创建到期时间吗?
答案 0 :(得分:2)
有趣的是,我刚刚就Slack上的这个问题提供了一些建议: 通过查看代码,您必须至少覆盖这三个类的功能:
似乎它区别刷新令牌的方式是没有到期,因此您必须提出一种替代机制。祝你好运...