出于某些原因,我无法在客户端上使用刷新令牌,是否有可能在ResourceServer上实现RemoteTokenServices,以便它检查令牌是否未在身份验证服务器上吊销,而是从JWT令牌本身获取身份验证信息(例如用户详细信息),而不是来自身份验证服务器,就像默认实现使用uuid令牌一样?
upd:此question不是重复的,是关于JS和常规的 的方法,我对我解释的方法很好,我想知道是否以及如何使用spring boot和spring security来实现它。
答案 0 :(得分:0)
JWT包含三个部分:
您应该在https://jwt.io/introduction
处了解有效负载(以及JWT本身)长话短说,您可以在有效负载中包含公共数据。如果是提到的RemoteTokenServices-当然可以,但是我不确定这是否是个好主意。您可以仅将公共expiration-date(或expires)属性添加到有效负载中。
另外,看看这个:https://jwt.io/