考虑以下情况:
- API网关验证由keycloak颁发的JWT标记。它执行所有验证,包括过期日期。
1.然后将令牌转发到目标应用程序。
1.该目标应用程序使用keycloak spring安全适配器再次验证令牌。
1.应用程序可以处理该请求,并最终将此令牌转发给另一个内部服务,该服务将执行相同的验证。
但是,在此请求的有效期内,令牌可能会过期。
我的问题是:
1.如果令牌已经在API网关上验证,忽略令牌到期日期是否安全?
1.如果对1的回答是肯定的,有没有办法配置spring安全适配器忽略过期日期?
1.如果对1的回答是否定的,那么有没有标准的方法来处理令牌在请求的生命周期内过期的情况?
2条答案
按热度按时间bvpmtnay1#
出于安全原因,没有令牌过期日期。
如果有人偷了一个没有有效期的令牌,那么这个令牌将可以永远使用。这是非常危险的。特别是如果这个令牌很值钱的话。
如果令牌已过期,则应刷新令牌,然后您可以再次请求。
41zrol4v2#
我想说的是你的前端应该正确管理有效令牌的状态。好的认证库有配置,你可以在那里定义令牌到期前什么时候刷新令牌。所以它应该以这样的方式配置,令牌在后端不会永远过期。