如何在SpringBoot2 OAuth2-JWT中实现注销功能

时间:2018-10-07 16:09:34

标签: spring-boot jwt spring-security-oauth2

我已经用SpringBoot2和JWT实现了OAuth2-身份验证服务器和资源服务器。我的后端包含以下表格:

  1. AppUser
  2. AppRole
  3. AppPermission
  4. OAuth_Client_Details

有人可以指导我如何实现注销功能吗?

1 个答案:

答案 0 :(得分:1)

我从您的帖子中假设,您正在将客户端凭据作为OAuth类型与JWT令牌结合使用?

在这种情况下,认证信息在JWT内部进行编码。资源服务器使用授权服务器的公共证书来验证JWT的有效性。像JWT这样的自包含令牌并不意味着要被撤销。发出JWT令牌后,直到达到到期时间,该令牌才有效。

除非维护并不断检查某种JWT黑名单,否则资源服务器和/或授权服务器无法注销客户端。这将违反使用(自包含的)JWT令牌的目的。