我使用Spring OAuth2
开发了一个应用程序,其中有一个跟踪用户的Authorization Server
和一个充当客户端应用程序并处理重定向到{{1 }}从中获取API gateway
。
Authorization Server
的有效期为1年,而opaque token
的使用标准时间段(我认为是30分钟)。用户通过身份验证后,所有请求都会通过token
,然后根据Authorization Server
验证API gateway
。
我的问题是,当token
中的安全性要求用户使用时,如何处理转发到Authorization Server
的请求,例如获取用户列表的请求要登录才能访问此终结点并且会话已经过期,而您的Authorization Server
仍然有效?我是否应该重定向用户以再次登录Authorization Server
?
我认为这里的类比是token
中的朋友列表。如果我有一个将Authorization Server
用作Facebook
的应用程序,如果Facebook
像我一样仅保留30分钟的会话,该如何处理获取用户的朋友列表? (我实际上不知道Identity Provider
如何处理长期存在的会话,因此,如果有人可以在这里分享一些经验,我将不胜感激)
除此之外,如果我要添加第二个应用程序,那么当您想要拥有已为每个应用程序登录到Facebook
的用户列表时,该怎么办?我是否必须保留每个应用程序内部的已记录用户列表?在这种情况下,Facebook
是什么,考虑到用户可以修改其电子邮件地址,因此我不能将其用作Identity Provider
?
编辑:检查了id
和id
Facebook
和某些应用程序后,我意识到他们将Google
暴露给仅提供有效令牌的经过身份验证的应用程序,即使首先获得令牌的用户将不再登录。所以现在的问题是,是否可以根据用户会话或提供的访问令牌来配置APIs
以保护APIs
使用Spring Security
?