关于SSO的登陆页面和退出问题

来源:5-12 实现基于token的SSO(2)

weixin_慕慕2501778

2020-04-14

请问老师,我希望第三方应用通过网关跳转到SSO的认证服务器上的一个页面输入用户名密码,发现用户是可以通过网关地址通过JSON请求到任何希望的接口,但是跳转页面第一次跳转是成功的,但是login的页面地址已经不是网关地址而是后端的认证服务器地址,如果在生产上我屏蔽了任何到后端服务器这些端口的访问,不是就无法用跳转登陆页做认证了吗?这个该如何解决?还有就是jwt的登出该如何处理?这个完全没有session,如何失效登出逻辑?请老师指条明路,给点参考地址也好,谢谢!

写回答

1回答

JoJo

2020-04-22

第一个,页面不要走网关,只有服务走网关。页面可以考虑前后端分离部到网关外面。第二个,jwt登出就是把token删了,客户端没有token就是登出了,课里应该讲了吧。

0
1
xigua366
“jwt登出就是把token删了,客户端没有token就是登出了” 如果仅仅这样做的话,此时只是客户端界面上看着像是退出了,但是此时的jwt token还是有效的对吧?然后如果用户人为恶意拿到了token,虽然点了退出登录,但是他还是可以用这个token来调用接口呢?老师还有没有更健壮的登出处理方案?
2020-04-26
共1条回复

Spring Cloud微服务安全实战 可落地的安全方案

从API到复杂微服务场景,实战部署可落地的安全方案。

1029 学习 · 370 问题

查看课程