我有一个使用 Grails 3.1、Spring Security 和 Spring Security REST 的应用程序。
在我的 User 实体中,我有 accountExpired 字段,当设置为 true 时,会阻止用户访问 Web 系统。
但是,在移动应用程序中,我获得了永不过期的访问令牌和刷新令牌。换句话说,用户登录一次并保持登录状态,直到执行注销。
由于 accountExpired 不会使刷新令牌无效,因此我需要一种方法来使用户在移动应用程序中的访问权限无效。
有谁知道如何实现这一目标?
您可能想要研究 Grails 拦截器,它将拦截所有调用,并让您有机会将它们踢出......
https://docs.grails.org/5.1.4/api/grails/artefact/Interceptor.html
如果这还不够好,您可能必须编写一个安全 servlet 过滤器并继承自 AbstractAuthenticationProcessingFilter。这要棘手得多,但如果你需要的话,这是非常可行的。