我已经用SpringBoot2和JWT实现了OAuth2-身份验证服务器和资源服务器。我的后端包含以下表格:
有人可以指导我如何实现注销功能吗?
答案 0 :(得分:1)
我从您的帖子中假设,您正在将客户端凭据作为OAuth类型与JWT令牌结合使用?
在这种情况下,认证信息在JWT内部进行编码。资源服务器使用授权服务器的公共证书来验证JWT的有效性。像JWT这样的自包含令牌并不意味着要被撤销。发出JWT令牌后,直到达到到期时间,该令牌才有效。
除非维护并不断检查某种JWT黑名单,否则资源服务器和/或授权服务器无法注销客户端。这将违反使用(自包含的)JWT令牌的目的。