我试图通过这样撤销access_token来注销:
@FrameworkEndpoint
public class SecurityLogoutController {
@Autowired
private ConsumerTokenServices consumerTokenServices;
@DeleteMapping( "/oauth/token" )
public ResponseEntity<Void> logout( WebRequest request ) {
String bearer = "bearer";
String authorizationHeader = request.getHeader( HttpHeaders.AUTHORIZATION );
log.info( "authorization header: {}", authorizationHeader );
if ( authorizationHeader != null && StringUtils.containsIgnoreCase( authorizationHeader, bearer ) ) {
String accessTokenID = authorizationHeader.substring( bearer.length() + 1 );
log.info( "access_token: {}", accessTokenID );
consumerTokenServices.revokeToken( accessTokenID );
}
return ...;
}
}
但每次我发送这个删除请求时都会收到回复:
{
"timestamp": "2018-05-30T01:09:11.710+0000",
"status": 401,
"error": "Unauthorized",
"message": "Unauthorized",
"path": "/oauth/token"
}
端点受到场景后面的Spring Security的保护,我不知道该端点的保护方式和位置。我不明白的是:为什么客户端应该再次进行身份验证,因为它已经通过身份验证access_token?这对我来说似乎很奇怪。
现在,当我对客户端进行身份验证时,Postman会自动替换Authorization标头值并使用基本身份验证进行设置。类似于:Basic Y2hpY293YS11aXNlcnZpY2U6Y2aXNlcnZpY2U=
需要一些帮助......谢谢
答案 0 :(得分:2)
它实际上是有道理的,因为已经登录的人可以使用提供的令牌进行注销。浏览器应用程序肯定会传递client_id和secret。
即使我有同样的问题,也在SO上发布了同样的问题。嗯..一个出路是你使用client_id和secret进行基本身份验证,并且重要的是传递另一个名为AUTH-TOKEN(或其他)的头,其中包含您要删除的实际令牌的值。这是代码
@RequestMapping(method = RequestMethod.DELETE, value = "/oauth/token")
@ResponseBody
public void revokeToken(HttpServletRequest request) {
String authorization = request.getHeader("AUTH-TOKEN");
if (authorization != null && authorization.contains("Bearer")) {
String tokenId = authorization.substring("Bearer".length() + 1);
System.out.println("tokenId : " + tokenId);
tokenServices.revokeToken(tokenId);
//tokenStore.removeRefreshToken(token);
}
}