我使用Keyclaok作为授权服务器,并使用spring引导实现了资源服务器。现在我想限制每个用户的活动JWT令牌计数。所以当我在谷歌上搜索这个问题后,我发现我应该使用这种机制,当用户登录系统时,如果用户有一个旧的令牌,该令牌将存储在黑名单中,然后在用户向资源服务器发出的每个请求中,用Keyclaok的调用内省端点验证令牌,然后检查给定的令牌是否在黑名单内。
但我发现spring-security并没有调用内省端点来验证JWT令牌,而是使用本地验证。
实现这一要求的最佳方法是什么?
用户有充分的理由同时使用令牌:在SingleSignOn场景中,您可以在同一授权服务器上使用不同的客户端进行身份验证。您将为每个客户端获得一个令牌。
我只会减少代币的寿命。访问30秒后到期的代币难道不能解决您的担忧吗?
JWT访问令牌的寿命应该很短,并且严肃的客户端库处理静默访问令牌的续订。
在钥匙斗篷上,这是在";高级设置";对于每个客户端。