Spring Security OAuth2撤销令牌不起作用
Spring Security OAuth2是一个基于Spring Security的开源框架,用于实现OAuth2协议的认证和授权功能。它提供了一套完整的解决方案,用于保护和管理应用程序的资源。
撤销令牌是OAuth2协议中的一个重要功能,用于使令牌失效,防止被滥用。然而,有时候在使用Spring Security OAuth2时,撤销令牌可能会出现不起作用的情况。
造成撤销令牌不起作用的原因可能有多种,以下是一些可能的原因和解决方法:
- 配置错误:检查Spring Security OAuth2的配置文件,确保正确配置了撤销令牌的相关参数。例如,检查是否正确配置了撤销令牌的端点URL、授权服务器的访问令牌存储方式等。
- 令牌存储问题:撤销令牌需要将令牌存储在可访问的存储介质中,例如数据库或内存中。如果令牌存储方式配置错误或存在问题,可能导致撤销令牌不起作用。检查令牌存储方式的配置,并确保其正常工作。
- 令牌验证问题:撤销令牌需要验证令牌的有效性,以确定是否可以撤销。如果令牌验证过程存在问题,可能导致撤销令牌不起作用。检查令牌验证的相关代码,并确保其正确实现。
- 缓存问题:有时候,撤销令牌的结果可能会被缓存,导致撤销操作不立即生效。检查缓存配置,并确保及时刷新缓存,以使撤销操作生效。
总结起来,撤销令牌不起作用可能是由于配置错误、令牌存储问题、令牌验证问题或缓存问题等原因导致的。需要仔细检查相关配置和代码,并逐一解决可能的问题。
腾讯云提供了一系列与OAuth2相关的产品和服务,例如腾讯云API网关、腾讯云身份认证服务等,可以帮助开发者实现安全可靠的OAuth2认证和授权功能。具体产品介绍和文档可以参考以下链接:
- 腾讯云API网关:https://cloud.tencent.com/product/apigateway
- 腾讯云身份认证服务:https://cloud.tencent.com/product/cam
相关·内容
5回答
可以有多个腾讯云帐号认证为同一家企业吗?
企业、腾讯云帐号
已经有个腾讯云帐号,脑子迷糊用私人qq号注册的,还完成了企业认证,
后面如果有技术团队了,那不就意味着这个私人qq号要拿出来给团队用。所以想重新申请个腾讯云帐号,做企业认证时能通过吗?(前面已经有一个腾讯云帐号认证为这家企业)
浏览 3219提问于2017-09-14
3回答
如何撤销JWT令牌?
oauth-2.0、spring-security-oauth2
我使用的是Spring Security OAuth2和JWT令牌。我的问题是:如何撤销JWT令牌?
正如这里提到的,撤销是通过刷新令牌完成的。但它似乎不起作用。
浏览 96提问于2015-08-10得票数 97
2回答
将JWT存储在数据库中有意义吗?
spring、rest、security、oauth-2.0、jwt
我实现了一个基本的认证系统,使用Spring Boot、Spring Security、OAUTH2和JWT作为认证令牌。它工作得很好,但我在想,是否有必要将JWT存储在数据库中,并在每次有人使用令牌进行身份验证请求时检查令牌是否存在?我特别考虑了以下场景:用户在移动设备中进行了身份验证,但他们丢失了身份验证,因此他们希望取消对该设备的授权。然后,他们将能够发出一个操作,该操作清除发放给他们的用户id的令牌,并解除对分配给他的所有令牌的授权。还有别的办法吗?我是不是想错了,还是把事情复杂化了?
这是为了保护将要从移动应用程序调用的REST API。
浏览 0提问于2017-03-13得票数 55
回答已采纳
1回答
我的OAuth 2资源服务器的多个身份验证服务器
java、spring-boot、spring-security-oauth2
我用Spring和SpringOauth2实现了一个简单的资源服务器,使用Google作为身份验证服务器:
spring:
security:
oauth2:
client:
registration:
google:
client-id: clientId
client-secret: clientSecret
scope: openid,profile,email
resourceserver:
jwt:
iss
浏览 25提问于2022-07-12得票数 0
回答已采纳
1回答
基于Security OAuth2的OppenId连接配置
spring-boot、spring-security、single-sign-on、spring-security-oauth2、openid-connect
有些微网络是由Zuul网关支持的,它们都是由Security OAuth2保护的。设想如下:
1-作为OAuth2客户端的Zuul网关。
所有支持的应用程序都是OAuth2资源服务器。
一个应用程序正在作为OAuth2授权服务器(UAA)运行.
OAuth2的流是Authorization code流。在Pricipal调用授权服务器的端点时,所有资源服务器都需要获取用户信息,如下所示:
security:
oauth2:
resource:
user-info-uri: http://localhost:9191/uaa/user
每件事都像预期的那样正常工作。
需要
浏览 1提问于2019-07-26得票数 0
回答已采纳
1回答
InMemoryTokenStore是如何与Security OAuth2合作的,从黑客的角度来看,这是最安全的方法吗?
spring-security、spring-security-oauth2
我是使用Spring Security OAuth2版本2.0.10.RELEASE实现的新手。我使用'InMemoryTokenStore'开发了代码,它的工作方式给我留下了深刻的印象(它创建了access_token、'refresh_token'等),但是我对它的工作原理还没有足够的理解。有谁能帮我了解一下它的工作原理吗?
从黑客的角度来看,'InMemoryTokenStore'是最安全的实现吗?我还看到OAuth2提供了许多实现,比如JdbcTokenStore、JwtTokenStore、KeyStoreKeyFactory。我认为将
浏览 3提问于2016-08-29得票数 6
2回答
从出现invalid_grant错误的刷新令牌中获取访问令牌,坏请求或令牌已过期或被撤销,作为错误描述
java、http、oauth、google-oauth、scribe
使用 OAuth2客户端库: 1.2.0 ()
我能够从授权代码中获得刷新令牌(即通过使用client_id、client_secret、代码、作用域、grant_type (authorization_code)、redirect_uri参数进行POST调用)。我在DB中保存了刷新令牌。我们支持驱动器和日历范围=>,因此,我为每个用户存储两个刷新令牌(电子邮件)
然后客户端将调用API来获取访问令牌(然后我将使用和refresh_token、grant_type (refresh_token)、client_id和client_secret进行POST调用)。电话成功了。幸福的正常道路
浏览 8提问于2021-05-21得票数 1
回答已采纳
1回答
Spring安全oauth2登录/ spring云网关使用XHR发送302
java、spring-security-oauth2、spring-cloud-gateway
我正在开发一个带有BFF的SPA应用程序,它使用spring云网关配置为具有spring安全性的oauth2客户端和作为授权服务器的keycloak服务器。我做了一个经典的spring安全配置:
@Configuration
@EnableWebFluxSecurity
public class SecurityConfiguration {
@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http.authorizeExchange
浏览 15提问于2022-11-11得票数 0
1回答
通过公开公共和私有端点
spring-boot、keycloak、spring-security-oauth2、spring-cloud-gateway
我使用Spring作为基础设施的入口点。网关配置了keycloak,以便使用以下配置验证身份验证头
spring:
security:
oauth2:
resource-server:
jwt:
jwk-set-uri: https://httpd.keycloak.local:443/keycloak/realms/myRealm/protocol/openid-connect/certs
下面是一个示例路由
spring:
cloud:
gateway:
routes:
- id: my-r
浏览 3提问于2022-08-02得票数 0
1回答
Spring Boot OAuth 2:登录后的匿名用户
java、spring-boot、authentication、oauth-2.0
我试图用Spring Boot2创建一个OAuth 2客户端,但即使是最简单的官方示例也无法正常工作,因为我的用户没有通过身份验证并进入登录循环。
我克隆了第一个官方Spring Boot OAuth 2示例:
它的目标是通过外部OAuth身份验证服务器(在本例中是Facebook)对用户进行身份验证。我唯一改变的是使用了Github而不是Facebook。
在有效的Github身份验证并允许客户端使用Github的资源之后,Github使用code和state参数重定向回localhost:8080。但是客户端正在记录:
Access is denied (user is anonymous
浏览 121提问于2018-12-13得票数 2
2回答
Zuul - Api网关认证
spring-cloud、netflix-zuul
我想通过Spring将Zuul介绍为一些服务前面的API网关。
我对认证有一些设计上的疑问。身份验证将由Security处理,Security在servlet过滤器链中的Zuul之前。
我感到关切的是:
网关将位于许多服务的前面。
有些服务可能公开不需要身份验证的端点。
有些服务可能公开需要会话Id的端点,而有些则公开带有令牌的端点“,这是一个任意的不透明值(例如,如果您知道API Gateway/Spring安全性中存在”难以猜测“的url,则下载文件),您可以配置所有端点并满足其特定的身份验证要求。
在管理API网关方面:
如何强制实际的服务团队为每个下游服务提供所
浏览 5提问于2015-11-25得票数 39
回答已采纳
1回答
Google网关用户身份验证
google-cloud-platform、google-oauth、google-api-gateway
我正在尝试通过Google网关中的JWTs来实现用户身份验证。
我已经按照在API配置中配置了安全需求对象和安全定义对象。
securityDefinitions:
google_id_token:
authorizationUrl: ""
flow: "implicit"
type: "oauth2"
x-google-issuer: "https://accounts.google.com"
x-google-jwks_uri: "https://ww
浏览 2提问于2021-11-08得票数 0
1回答
OAuth2丢失会话的Spring安全性
spring、spring-boot、spring-security、spring-security-oauth2
我们有一个基于Spring的网关,使用Security、OAuth2登录和Zuul路由.它还使用Spring会话在Redis中存储会话。此网关在会话中存储一个OAuth2令牌,并将OAuth2标记转发给后端服务。
我们有一个问题,用户经常被签出去。这似乎大约每小时发生一次。我们甚至不太清楚是什么原因造成了这一切与所有不同的工具到位。
浏览器中的会话cookie将在较长时间内过期。因此,我怀疑这要么是Spring使会话无效,要么是OAuth2令牌过期。
从代码的快速检查来看,OAuth2TokenRelayFilter似乎支持刷新令牌。这是正确的吗?
如何找出其原因并加以修正?
作为参考,我们正
浏览 3提问于2020-05-14得票数 5
1回答
Spring Boot OAuth2 -记住给定的授权
java、spring、spring-boot、kotlin、oauth
我目前正在使用Spring和Security OAuth2自动配置库开发一个OAuth2授权服务器。
到目前为止,除了每次访问受保护的资源都需要授权客户端这一事实之外,一切都正常工作。是否有任何方法来抑制提示或记住我已经授权了客户?将&prompt=none添加到我的URL的请求参数中并不像预期的那样有效。
我已经尝试添加一个自定义AuthorizationRequestResolver并将prompt=none添加到每个请求中,但这也不起作用。
提前谢谢你。
浏览 2提问于2022-08-02得票数 1
1回答
进行服务器到服务器调用的最快方法是什么?
rest、oauth-2.0、spring-security-oauth2、server-to-server
我在我的应用程序中实现了Oauth2来保护应用程序接口调用。我的Oauth和资源服务器在两个不同的物理机器上(但在同一个网络上)。对于资源服务器上的每次调用,它都需要调用Oauth服务器进行Oauthtoken验证。
一天之内,我有数百万个请求到达我的资源服务器。目前,为了验证Oauth令牌,我正在使用从资源服务器到Oauth服务器的rest调用。
有没有办法让这个过程更快,因为每个调用都需要重定向到Oauth服务器?webSockets能解决这个问题吗?
浏览 5提问于2016-04-24得票数 1
2回答
OAuth2 -使用刷新令牌的不必要的复杂性
security、oauth、oauth-2.0
我不清楚,为什么oauth2中存在刷新/访问令牌概念,如果端点与中多次描述的相同(授权)服务器。
资源所有者在没有共享凭据的情况下授权任何第三方组件的第一个授权步骤是oauth2的基本思想。使用授权令牌生成访问和刷新令牌只是另一个级别的授权间接imho,但没有增加安全性。
由于授权服务器是相同的,访问令牌与授权令牌和刷新令牌一样敏感,因此我将其称为不必要的复杂性。
对我来说,唯一有意义的解释是,如果有人窃取了访问令牌,客户端就能够请求一个新的访问令牌。但有人怎么把它加固的呢?如果它是中间的一个人,那么当客户端请求一个新的令牌时,他也有刷新令牌。
我的问题是:为什么授权服务器不只是返回一个可以被
浏览 2提问于2015-09-18得票数 3
回答已采纳
1回答
Spring云网关,支持开源IDP
keycloak、openid-connect、spring-cloud-gateway、spring-oauth2、cloudfoundry-uaa
寻找示例来实现Spring cloud gateway与开源IDP的集成,如keycloak、UAA for REST API。下面有一些使用授权码流的示例,而授权码流又需要浏览器交互。
但由于大多数都是在spring云网关中暴露的后端API,所以没有涉及到浏览器。您能建议一下如何使用开源的IDP在spring云网关中实现API的身份验证和基于角色的授权吗?
问候
雅各布
浏览 4提问于2021-07-22得票数 0
1回答
没有JWT的Spring网关与OAuth2的集成
spring-security-oauth2、spring-cloud-gateway
我是针对为我提供3个端点的OAuth2服务进行身份验证的:
http://bobsoauth.com/oauth2/authorize
http://bobsoauth.com/oauth2/token
http://bobsoauth.com/oauth2/userdata
此服务不发出JWT。
我需要使用一个有角度的客户端应用程序,连接到Spring,然后连接到多个Spring微服务。
如果没有JWT,我还能在网关和微服务之间使用令牌中继设置吗?
浏览 0提问于2022-09-19得票数 0
1回答
Oauth2,本地应用程序和令牌窃取
spring、oauth-2.0、spring-security-oauth2
我使用OAuth2授权机制对我的移动应用程序访问我的资源服务器。我已经定义了具有其秘密的客户端,命名为mobile_client,并使用授权代码授权获得刷新令牌。我还有一个用户user@app.pl正在两部手机上使用我的应用程序。我注意到偷令牌有问题。
场景如下:
+---------------+
(Phone 1)----------- Refresh Token1----------->| Authorization |
(Phone 1)<--- Access Token1+
浏览 1提问于2018-10-09得票数 1
1回答
Spring OAuth2 - JWT令牌在服务器上工作,但不在本地主机上工作?
spring-security、oauth-2.0、jwt、spring-security-oauth2、spring-oauth2
我看到myapp能够在服务器上正确地处理OAuth2 JWT令牌,但是它在本地主机上出现令牌转换错误。
我的流如下所示-
On Server,myapp在自定义 api-gateway后面
获取访问令牌-通过postman,我点击api网关令牌端点,然后调用authserver令牌端点。我得到了OAuth JWT令牌作为响应。
总之,邮递员
请求:-(Creds)->api-网关-(Samecreds)-> auth-server
响应: jwt令牌<-(相同jwt)-- api-网关<-(Jwt)-auth服务器
接下来,我点击了myapp 端点--再
浏览 10提问于2022-09-15得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
