我使用Spring OAuth2开发了一个应用程序,其中有一个跟踪用户的Authorization Server和一个充当客户端应用程序并处理重定向到{{1 }}从中获取API gateway。
Authorization Server的有效期为1年,而opaque token的使用标准时间段(我认为是30分钟)。用户通过身份验证后,所有请求都会通过token,然后根据Authorization Server验证API gateway。
我的问题是,当token中的安全性要求用户使用时,如何处理转发到Authorization Server的请求,例如获取用户列表的请求要登录才能访问此终结点并且会话已经过期,而您的Authorization Server仍然有效?我是否应该重定向用户以再次登录Authorization Server?
我认为这里的类比是token中的朋友列表。如果我有一个将Authorization Server用作Facebook的应用程序,如果Facebook像我一样仅保留30分钟的会话,该如何处理获取用户的朋友列表? (我实际上不知道Identity Provider如何处理长期存在的会话,因此,如果有人可以在这里分享一些经验,我将不胜感激)
除此之外,如果我要添加第二个应用程序,那么当您想要拥有已为每个应用程序登录到Facebook的用户列表时,该怎么办?我是否必须保留每个应用程序内部的已记录用户列表?在这种情况下,Facebook是什么,考虑到用户可以修改其电子邮件地址,因此我不能将其用作Identity Provider?
编辑:检查了id和id Facebook和某些应用程序后,我意识到他们将Google暴露给仅提供有效令牌的经过身份验证的应用程序,即使首先获得令牌的用户将不再登录。所以现在的问题是,是否可以根据用户会话或提供的访问令牌来配置APIs以保护APIs使用Spring Security?