我有一个问题,用户在使用postman注销应用程序后仍然可以调用api。注销后浏览器端没有问题,因为我已删除访问令牌并清除cookie。但是用户仍然可以使用postman调用api并获得结果,这意味着后端不会使oauth令牌无效。如果有人偷了访问码,这可能会导致安全问题。
我想在调用api之前应用验证。我将在数据库表中添加一列,其值为login或logout,以指示当前用户状态。然后,我将从数据库中为每一个被调用进行验证的api获取这个值。如果该值为logout,则api将返回一些错误消息。是否可以使用spring security执行此操作?
暂无答案!
目前还没有任何答案,快来回答吧!