Question

我正在使用JWT Grant将外部身份提供商生成的JWT令牌交换为WSO2访问令牌。

将要执行此操作的客户端是公共浏览器，所以我不想拥有refresh_token。有没有方法可以配置WSO2 API管理器，使其不生成refresh_token？

Answer 1

您可以像这样[1]扩展JWT授权类型并禁用刷新令牌。

在AbstractAuthorizationGrantHandler.java

@Override
public boolean issueRefreshToken() throws IdentityOAuth2Exception {
    return false;
}

[1] https://github.com/wso2-extensions/identity-inbound-auth-oauth/blob/master/components/org.wso2.carbon.identity.oauth/src/main/java/org/wso2/carbon/identity/oauth2/token/handlers/grant/AbstractAuthorizationGrantHandler.java#L90

Answer 2

在“ repository / conf / identity / identity.xml”文件中注释刷新令牌授予处理程序。这将全局禁用刷新令牌授予处理程序。

<SupportedGrantType>
    <GrantTypeName>refresh_token</GrantTypeName>
    <GrantTypeHandlerImplClass>org.wso2.carbon.identity.oauth2.token.handlers.grant.RefreshGrantHandler</GrantTypeHandlerImplClass>
</SupportedGrantType>

有没有一种方法可以在WSO2 JWT Grant流中不生成刷新令牌？

2 个答案: