要点:
我希望我的oauth客户端针对每个请求从oauth授权服务器重新获取权限,因此对用户权限的任何更改都会立即反映出来。
详细说明:
我有一个使用 @ EnableOauth2Sso 保护的Spring Boot网络应用。
我编写了自己的oauth授权应用程序,使用 @EnableAuthorizationServer 进行保护。
我的网络应用程序设置为使用授权代码授予类型。这一切都运行正常,我可以使用授权应用程序登录我的Web应用程序,正确执行整个oauth2舞蹈,导致授权代码被替换为访问令牌。
一旦我们在Web应用程序中返回访问令牌,作为初始身份验证的一部分,Web应用程序上的Spring安全性就会调用授权服务器上的/ oath / check_token端点并将返回的用户信息存储在HTTP会话。
如何停止此操作,并为每个Web应用程序请求从授权服务器请求用户信息?