令牌撤销也是一个很常见的需求,在一些情况下要求能对已经发放的令牌进行撤销操作,OAuth2定义了相关的规范RFC7009。Spring Authorization Server提供了这一功能。
OAuth2TokenRevocationEndpointConfigurer
OAuth2TokenRevocationEndpointConfigurer
是配置负责处理令牌撤销的过滤器的配置类。
以上五项都可以自定义,大部分情况下我们使用默认配置就行了。
OAuth2TokenRevocationEndpointFilter
OAuth2TokenRevocationEndpointFilter
正是负责撤销令牌的端点过滤器,默认情况下它会拦截/oauth2/revoke
POST请求。
其实看多了Spring Security过滤器你会发现一个通用的模型:
拦截特定请求,提取参数封装成
Authentication
,然后交给AuthenticationManager
,选择合适的AuthenticationProvider
进行认证,最终返回认证过的Authentication</