ログアウトコントローラーでは、コードの組み合わせをたくさん書いてみました。今私はこれを持っています:
final Authentication auth = SecurityContextHolder.getContext().getAuthentication();
if (auth != null) {
new SecurityContextLogoutHandler().logout(request, response, auth);
}
SecurityContextHolder.getContext().setAuthentication(null);
auth.setAuthenticated(false);
ただし、コード実行トークンを提供した後も有効です。
私は何を間違っていますか?最終的にトークンを取り消す方法は?
お探しのクラスは
DefaultServices、メソッドrevokeToken(String tokenValue)です。
これはトークンを取り消すコントローラーの例であり、ここでは Beanを使用した oauth2 構成DefaultServicesです。
現在のユーザー以外のユーザーのトークンを取り消す必要がある場合 (たとえば、管理者がユーザー アカウントを無効にしたい場合)、これを使用できます。
Collection<OAuth2AccessToken> tokens = tokenStore.findTokensByClientIdAndUserName(
"my_oauth_client_id",
user.getUsername());
for (OAuth2AccessToken token : tokens) {
consumerTokenServices.revokeToken(token.getValue());
}
でtokenStoreあることorg.springframework.security.oauth2.provider.token.TokenStoreとconsumerTokenServicesorg.springframework.security.oauth2.provider.token.ConsumerTokenServices
DefaultTokenServices を自動配線してから、次のコードを使用します。
String authHeader = request.getHeader("Authorization");
String tokenValue = authHeader.replace("bearer", "").trim();
tokenService.revokeToken(tokenValue);
tokenService.setAccessTokenValiditySeconds(1);
tokenService.setRefreshTokenValiditySeconds(1);
アクセス トークンを取り消すコードを試してみてください。