在版本2.1.0.RELEASE和2.1.1.RELEASE之间,spring-security-oauth2在所有访问令牌验证响应上添加了新的“ active:true”硬编码值。
不幸的是,我们所有API中的访问令牌验证代码都未能将Jackson JSON解析设置为非脆性模式,因此升级OAuth堆栈使用此方法基本上破坏了一切,我们不得不回滚。
这是有问题的拉取请求: https://github.com/spring-projects/spring-security-oauth/commit/b418cab1f64c3a3dd6def25c75c9fcea26b19b53 这是为了使问题https://github.com/spring-projects/spring-security-oauth/issues/1070获得访问令牌验证响应以符合此RFC:https://tools.ietf.org/search/rfc7662#section-2.2
无论如何,我知道这是针对RFC的,因此永远不会删除。但是您对我如何抑制这一领域有什么建议吗?
我们已经在使用自定义的AccessTokenConverter,但是在Spring类CheckTokenEndpoint中调用它并逐步调试之后,将其添加进来,我看不到其他可以抑制它的spring-security-oauth2扩展点。
除了编写可将字段切碎的servlet响应过滤器以外,还有其他建议吗?也许尝试为路径“ / oauth / check_token”包括我自己的自定义CheckTokenEndpoint?这些解决方案中的任何一个听起来都不是很漂亮。