我正在使用spring-security-oauth2来允许用户使用令牌来访问API。但是,我意识到使用生成的令牌更改给定用户的访问角色不会对其产生任何影响,这意味着如果我希望该令牌具有新角色,我需要为用户重新生成它。如果没有为用户重新生成令牌,有没有办法做到这一点?或者至少是为同一个用户暂时拥有2个令牌并在之后删除一个令牌的方法。
谢谢大家, 若昂
答案 0 :(得分:0)
如果您的资源服务器可以访问用户数据库(或者可以回调到auth服务器),那么一旦他们验证了令牌,他们就可以查找帐户详细信息(角色等)。您必须添加其他AuthenticationProcessingFilter或自定义其使用的AuthenticationManager。