spring-security 忽略keycloak spring安全适配器上的令牌过期

jslywgbw  于 2022-11-11  发布在  Spring
关注(0)|答案(2)|浏览(127)

考虑以下情况:

  1. API网关验证由keycloak颁发的JWT标记。它执行所有验证,包括过期日期。
    1.然后将令牌转发到目标应用程序。
    1.该目标应用程序使用keycloak spring安全适配器再次验证令牌。
    1.应用程序可以处理该请求,并最终将此令牌转发给另一个内部服务,该服务将执行相同的验证。
    但是,在此请求的有效期内,令牌可能会过期。
    我的问题是:
    1.如果令牌已经在API网关上验证,忽略令牌到期日期是否安全?
    1.如果对1的回答是肯定的,有没有办法配置spring安全适配器忽略过期日期?
    1.如果对1的回答是否定的,那么有没有标准的方法来处理令牌在请求的生命周期内过期的情况?
bvpmtnay

bvpmtnay1#

出于安全原因,没有令牌过期日期。
如果有人偷了一个没有有效期的令牌,那么这个令牌将可以永远使用。这是非常危险的。特别是如果这个令牌很值钱的话。
如果令牌已过期,则应刷新令牌,然后您可以再次请求。

41zrol4v

41zrol4v2#

我想说的是你的前端应该正确管理有效令牌的状态。好的认证库有配置,你可以在那里定义令牌到期前什么时候刷新令牌。所以它应该以这样的方式配置,令牌在后端不会永远过期。

相关问题