我正在使用负责OAuth2的UAA JHipster在微服务结构中测试用户会话的持续时间,当我使用“记住我”选项访问时,令牌每两分钟更新一次,但是如果我接受旧请求,并通过cUrl命令在终端上使用它,即使我注销了用户,旧令牌仍保持活动状态。旧令牌是否应该无效并在两分钟后或注销后阻止新请求?可以使旧令牌无效吗?
在UAA中定向会话参数的application-dev.yml摘录如下:
uaa:
key-store:
name: config/tls/keystore.p12
password: password
alias: selfsigned
web-client-configuration:
# Access Token is valid for 2 mins
access-token-validity-in-seconds: 120
# Refresh Token is valid for 7 days
refresh-token-validity-in-seconds-for-remember-me: 604800
client-id: web_app
secret: changeit