keycloak~Refresh_token阶段不走RequiredAction

Refresh_token是在access_token过期之后,用来换新的access_token的,有了Refresh_token之后,用户可以在很长一段时间不需要重新登录,这对于用户体验是有好处的;RequiredAction是一种登录阶段的必选行为,当一个用户被某个RequiredAction标记之后,用户必须完成RequiredAction,才算完成本次登录。

Refresh_token阶段是否会检查RequiredAction

这个答案是否定的,当一个用户登录之后,它在后台被标记一个RequiredAction,对于已经产生的refresh_token是不会有影响的,你拿着refresh_token还是可以直接换新的access_token。

当用户被禁用了,Refresh_token是否会被就叫影响

这个答案是肯定的,当一个用户的enable为false时,用户所产生的refresh_token就无法换回新的token了,这时会有http_status为400的错误返回

{
    "error": "invalid_grant",
    "error_description": "User disabled"
}

从keycloak源代码中也是可以看到的,位于org.keycloak.protocol.oidc.endpoints.TokenEndpoint类型的refreshTokenGrant()方法,有判断用户是否有效的方法,在`tokenManager.refreshAccessToken()方法中,如图

从内部方法可以找到判断用户状态的代码,如下

if (!user.isEnabled()) {
  throw new OAuthErrorException(OAuthErrorException.INVALID_GRANT, "User disabled", "User disabled");
}

如果希望refresh_token阶段对用户的required action有所控制,可以在这里添加对应的逻辑即可。

posted @   张占岭  阅读(65)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 【.NET】调用本地 Deepseek 模型
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· DeepSeek “源神”启动!「GitHub 热点速览」
· 我与微信审核的“相爱相杀”看个人小程序副业
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
历史上的今天:
2021-09-03 springboot~连接kafka需要注意的地方
2019-09-03 MacOS~jenkins里解决docker执行权限问题
2018-09-03 springboot~让我习惯了TDD的开发模式
2014-09-03 说说设计模式~门面模式(Facade)
2014-09-03 说说设计模式~建造者模式(Builder)
2013-09-03 随心所欲~我也做个集合遍历器吧(自己的foreach,委托的威力)
2012-09-03 Func和Action委托在代码中的写法
点击右上角即可分享
微信分享提示