关于SSO的登陆页面和退出问题

来源：5-12 实现基于token的SSO（2）

weixin_慕慕2501778

2020-04-14

请问老师，我希望第三方应用通过网关跳转到SSO的认证服务器上的一个页面输入用户名密码，发现用户是可以通过网关地址通过JSON请求到任何希望的接口，但是跳转页面第一次跳转是成功的，但是login的页面地址已经不是网关地址而是后端的认证服务器地址，如果在生产上我屏蔽了任何到后端服务器这些端口的访问，不是就无法用跳转登陆页做认证了吗？这个该如何解决？还有就是jwt的登出该如何处理？这个完全没有session，如何失效登出逻辑？请老师指条明路，给点参考地址也好，谢谢！

写回答

1回答

JoJo

2020-04-22

第一个，页面不要走网关，只有服务走网关。页面可以考虑前后端分离部到网关外面。第二个，jwt登出就是把token删了，客户端没有token就是登出了，课里应该讲了吧。

xigua366

“jwt登出就是把token删了，客户端没有token就是登出了” 如果仅仅这样做的话，此时只是客户端界面上看着像是退出了，但是此时的jwt token还是有效的对吧？然后如果用户人为恶意拿到了token，虽然点了退出登录，但是他还是可以用这个token来调用接口呢？老师还有没有更健壮的登出处理方案？

2020-04-26

共1条回复

Spring Cloud微服务安全实战可落地的安全方案

从API到复杂微服务场景，实战部署可落地的安全方案。

1029 学习 · 370 问题

查看课程

相似问题

关于多业务场景授权登陆问题

回答 1

上个课程遗留问题

回答 1

实现基于session的SSO的问题

回答 1

有些请求是谁都能访问但是只能访问属于自己那个的权限控制

回答 1

我加了网关之后，自定义登录页面，登录成功跳转不回/oauth/authorize 这个页面了。直接访问授权服务是可以的

回答 2

打开慕课网App查看更多内容