我是春天的新手
我使用spring security实现了OAuth2隐式流程。
问题是如何检查令牌有效性?我找到oauth/check_token终点但首先我无法联系到它。然后我做了以下改变:
@Override
public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception
{
oauthServer.checkTokenAccess("permitAll()");
}
配置完成后我可以使用check_token端点,但我想知道在端点上使用permitAll是否正确。我已尝试将其更改为isAuthenticated,但在这种情况下,我无法访问端点,因为我不会将client_secret存储在我的前端应用中。
我应该继续使用permitAll还是有更好的方法?
答案 0 :(得分:2)
您应该在使用oAuth时检查访问权限。
尝试以下代码,如果有效,
@Override
public void configure(
AuthorizationServerSecurityConfigurer oauthServer)
throws Exception {
oauthServer
.tokenKeyAccess("permitAll()")
.checkTokenAccess("isAuthenticated()");
}
如果没有,请分享您的安全相关代码段。快乐的编码:)