为什么多个访问令牌在Keycloak中起作用?
我正在检查Keycloak并试图保护用Springboot编写的REST服务。我在Github上找到了一个样本,它起作用了。问题是,一旦我通过刷新令牌获得了新的访问令牌,仍然可以使用旧的访问令牌。
我为Keycloak配置了Springboot适配器,并尝试通过Web门户为相关客户端在Keycloak中将访问令牌寿命设置为两分钟。
这种行为正常吗?任何建议都会有所帮助。
2 个答案:
答案 0 :(得分:1)
这种行为完全正常。
访问令牌持续到令牌中设置的到期时间。 访问令牌寿命短,刷新令牌寿命更长。
没关系-您可以通过刷新令牌生成任意数量的访问令牌。所有令牌都将起作用,直到达到其ttl为止。
答案 1 :(得分:1)
对于密钥斗篷,它不会使先前发行的访问令牌无效。您可以通过查看“会话”标签来验证这一点:
在我的情况下,我从2个不同的浏览器中使用administrator_user登录,然后又收到2个access_token,这两个都是有效的。
由于访问令牌是JWT,它是自包含的,并且具有到期时间字段。它一直有效,直到达到到期时间。
我可以看到一个用例,当您想在多个设备上使用相同的用户帐户时。例如。想起gmail(不是说它使用keycloak,而是一个通用示例)。当您登录到桌面gmail网站时,您不想退出移动gmail应用。
相关问题
- enable-basic-auth实际上是否在keycloak-tomcat-adapter中工作?
- 看看 - 为什么令牌= *永远不适合我?
- Keycloak服务器重启后,Keycloak访问令牌无效
- Keycloak如何在ID令牌中编码组成员身份
- 为什么多个访问令牌在Keycloak中起作用?
- 如何减少Keycloak中访问/刷新令牌的大小?
- 为什么OIDCLoginAndLogoutSimulation请求诸如zocial.css,patternfly.css之类的css文件
- Keycloak可以将范围包含在JWT访问令牌中作为数组吗?
- 如何在KeyCloak中的身份代理中仅允许具有特定声明的令牌?
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?