如何解决Spring Security OAuth2:如何通过在到期时生成新的 oauth2 令牌来重新授权令牌
我通过不记名令牌和受众 ID 连接到外部 API。但是,在不记名令牌到期时,spring 框架不会自动生成新令牌,而是仍然使用相同的过期令牌,从而导致 401 未授权错误。
进一步研究发现这一点,https://github.com/spring-projects/spring-security/issues/7699。
我尝试通过添加以下代码来实现 RemoveAuthorizedClientOAuth2AuthorizationFailureHandler,但是我仍然看到即使在令牌到期时也会考虑旧令牌。
@Bean
@Qualifier("test")
WebClient clientAdfs(
@Value("${test.resource}") String resource) {
return WebClient.builder().exchangeStrategies(exchangeStrategies)
.apply(oauth2Config("test",resource)).build();
}
private Consumer<WebClient.Builder> oauth2Config(String clientRegistrationId,String resource) {
//Assign Resource ( audience id) value to oauth2clientManager
ServletoAuth2AuthorizedClientExchangeFilterFunction oauth2 = new ServletoAuth2AuthorizedClientExchangeFilterFunction(
oauth2clientManager);
oauth2.setDefaultClientRegistrationId(clientRegistrationId);
oauth2.setAuthorizationFailureHandler(fetchAuthorizationFailureHandler());
return oauth2.oauth2Configuration();
}
private OAuth2AuthorizationFailureHandler fetchAuthorizationFailureHandler() {
return new RemoveAuthorizedClientOAuth2AuthorizationFailureHandler(
(clientRegistrationId,principal,attributes) ->
authorizedClientRepository.removeAuthorizedClient(clientRegistrationId,(HttpServletRequest) attributes.get(HttpServletRequest.class.getName()),(HttpServletResponse) attributes.get(HttpServletResponse.class.getName()));
);
}
你们中的任何人都可以指导正确的实施方式,以便在令牌到期时自动生成新令牌。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。