oauth2.0 注销登录再次访问authorize授权接口会跳过登录页面问题解决

最新推荐文章于 2026-04-25 10:09:19 发布

原创

最新推荐文章于 2026-04-25 10:09:19 发布 · 3.1k 阅读

标签

#cookie #java #oauth2 #session

收录于

本文介绍了一种在前后端分离架构中，如何通过AOP技术解决SSO登录自动续签导致的跳过登录问题。通过在授权码请求前清除用户信息，确保每次授权都处于未登录状态，防止默认使用cookie直接登录。

【重要提示，该种做法纯属技术理解和技术探索，禁止用于生产环境！因为违背了oauth2.0自动认证的宗旨！会导致无法自动登录问题】

【禁止用于生产环境】

子系统前后端分离时，退出并不能正确的清除SSO的login的用户信息，因为它是存在服务器上的，前端无法清除，用后端清除但因为是前后端分离，注销并不能正确携带request给服务器来清空用户登录信息，所以会出现，注销登录再次访问authorize授权接口会默认使用cookie导致登录成功跳过登录页面
解决方案：做AOP切入authorize接口，在使用authorize获取code之前，做一次清除用户信息的操作，使得每次获取code都是未登录状态，避免跳过登录页面

~~### 代码直接粘就完了！！！~~



import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.slf4j.Logger;
import

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

IT佳佳

关注关注

1
点赞
踩
7

收藏

觉得还不错? 一键收藏
4
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

前后端分离Oauth2.0 - springsecurity + spring-authorization-server —序言

qjyn1314的博客

11-08

4598

前后端分离的Oauth2.0实践-序言

4 条评论您还未登录，请先登录后发表或查看评论

oauth2.0 单点登录——授权码模式

weixin_40795574的博客

03-26

6525

本文主要介绍了 oauth2.0 单点登录中的最完整的授权码模式期望一个授权平台处于登录状态的时候，访问其他受信任的平台都可以跳过登录直接访问，其实是使用授权平台的身份信息进行的登录，即我们生活中常见的第三方软件微信登录这种。 Oauth2.0 概念：OAuth 就是一种授权机制。数据的所有者告诉系统，同意授权第三方应用进入系统，获取这些数据。系统从而产生一个短期的进入令牌（token），用来代替密码，供第三方应用使用。角色：服务提供方（微信），用户使用服务提供方来存储受保护的资源，如照片，视频

终极指南：如何彻底优化PocketBase OAuth2授权取消流程

最新发布

gitblog_00731的博客

04-25

427

PocketBase作为一款开源的实时后端解决方案，以其简洁高效的特性受到开发者青睐。本文将聚焦OAuth2授权流程中的关键环节——取消流程优化，帮助开发者提升用户体验并增强应用安全性。通过深入理解PocketBase的OAuth2实现机制，你将掌握如何构建流畅的授权取消体验，让用户在授权过程中拥有更多控制权。 ## OAuth2授权取消流程的重要性在用户授权流程中，取消操作往往被忽视，但其

oauth2.0自定义token失效返回信息

m0_52846216的博客

01-13

2159

oauth2.0自定义token失效返回信息一、问题由于spring security oauth2返回的失效信息对于客户端不太有好，在网上找了自定义的解决方案以便更优雅的展示返回信息。重写框架里的方法，实现自定义。二、配置类 Oauth2ResourceServer extends ResourceServerConfigurerAdapter @Override public void configure(ResourceServerSecurityConfigurer reso

oauth2实现免登录（springSecurity）

qq_38526245的博客

07-21

1万+

代码怎么写，原理等请参考阮一峰博客四种模式都讲的非常清楚，这里我就我遇到的问题做个记录什么用户存入数据库，客户端信息持久化，access_token存入redis等问题网上都可以搜到我所遇到的问题在获取code的时候，也就是 /oauth/authorize 接口（在AuthorizationEndpoint类中） User must be authenticated with Spring Security before authorization can be completed. 这是没有登

彻底搞懂OAuth2.0第三方授权免登原理

量子前端的博客

02-28

2550

OAuth 2.0是一个授权框架，允许第三方应用程序获取对资源拥有者（例如，用户）资源的有限访问权限，而不需要向第三方暴露资源拥有者的凭据（通常是一个密码）。这种授权通常用于允许用户让一个应用程序对另一个系统进行安全访问，通常用于“登陆”的场景。免登（免密码登录）原理在OAuth 2.0框架中可以通过几种不同的grant类型实现，最常见的是使用“授权码”（Authorization Code）流程。

记录下如何将oauth2的参数转存到/login请求上

liu346487291的专栏

08-19

1294

spring security oauth2 自定义/oauth/authorize参数

OAuth2.0免登陆授权

ITczh的博客

09-28

2715

单体应用：session+cookie方式实现权限管理分布式环境：多个Tomcat，Nginx做负载均衡，无法实现session共享 ip轮询（session黏贴）：每次请求，固定机制，都分发到第一台服务器，存储session的服务器一旦挂掉，其他服务器无法使用。 session复制：各个节点都复制session，但是session比较重，一旦请求早于复制过程，就会出现登录异常问题。 session集中存储：使用三方的redis。基于无状态token方式：token保存用户所有信息，返回到客户

Spring Cloud Security OAuth2的授权码模式登录流程

小岳岳

06-06

3732

一、首先创建一个空的父工程二、授权服务器搭建 1、依赖如下： 2、Spring Security的基本配置 ...

oauth2.0 授权码模式简单理解

weixin_39887965的博客

10-27

2610

什么是 oauth协议？百度百科上有解释：允许用户提供一个令牌，而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站（例如，视频编辑网站)在特定的时段（例如，接下来的2小时内）内访问特定的资源（例如仅仅是某一相册中的视频）。这样，OAuth允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息，而不需要分享他们的访问许可或他们数据的所有内容。简单的来讲就是一个令牌，这个令牌可以有一定的权限，在不知道用户密码的情况下也可以进行部分的功功能操作。用一个例子帮助理解：一

oauth2 绕过登录认证即可调取接口

weixin_43839457的博客

03-04

5917

最近公司想开发官网，之前的项目使用oauth2，所有接口都需要登录认证。官网接口空顶无法登录后再调取，所以想开放某些接口用于首页直接使用。

Spring security 自定义登录页面，登录后仍然跳转到登录页面 死循环的问题

YzVermicelli的博客

04-14

5724

Spring security 自定义登录页面，登录后仍然跳转到登录页面 死循环的问题搭建个人博客项目时遇到的bug，查阅多方资料无解，在改了四个小时后发现是csrf关闭失败的原因版本信息 springboot 2.2.6 springsecurity 5 错误的示例 protected void configure(HttpSecurity http) throws Except...

springcloud alibaba + 前后端分离实现autho2 认证

liudongyang123的博客

04-07

1970

OAuth2是一个开放标准，也是一个授权框架，使应用程序能够访问其它公司提供的资源，允许用户在第三方应用访问存储在其他服务器上的私密资源，而在整个过程不需要提供用户名和密码给到第三方应用，可以通过提供一个令牌(token)实现该功能，采用令牌的方式可以让用户灵活的对第三方应用授权或收回权限。

OAuth2笔记

kimizhou_blog的专栏

11-24

643

本篇只给自己看，讲的只要是一个实例 1：安卓webView 加载 php页面 http://w.hcyiz.com/api/?do=shop 2：跳转到我们的页面 http://car.huasharp.com/OAuth2/Authorize.aspx 3：没有登录就跳转到 http://car.huasharp.com/User/Login.

前后端完全分离项目的OAUTH2.0

头发茂密的假程序猿

12-03

8607

OAUTH2.0 业务需求因业务需求，需要把两个不相干的系统帐号打通，要求A系统的帐号能登录B系统。从网上找的教程都千篇一律，廖雪峰老师的讲的算是比较透彻，不过没有提怎么实现前后端分离的项目。网上的教程都是前后端放一起，后端在oauth流程结束后很容易把token以及获取到的三方帐号给到前端，然后对于完全前后端分离的项目来说，前后端都是独立的服务，存在跨域，前端如果不主动请求后端，那么后端拿到的oauth信息是无法给到前端了。解决方法最后通过强大的谷歌找到了方法，参考的OAUTH2.0前后分离，最终用

前后端分离Oauth2.0 - springsecurity + spring-authorization-server —授权码模式

qjyn1314的博客

11-08

1万+

前后端分离的Oauth2.0实践-授权码模式

Spring Security实现OAuth2.0授权服务 - 基础版

weixin_30879169的博客

04-16

382

一、OAuth2.0协议 1、OAuth2.0概述 OAuth2.0是一个关于授权的开放网络协议。该协议在第三方应用与服务提供平台之间设置了一个授权层。第三方应用需要服务资源时，并不是直接使用用户帐号密码登录服务提供平台，而是通过服务提供平台的授权层获取token令牌，用户可以在授权时指定token的权限范围和有效期。第三方应用获取到token以后，才可以访问用户资源。 OA...

spring security oauth2 配置不登陆也能访问_Spring Security Oauth2 SSO单点登录配置及原理深度剖析...

weixin_31589331的博客

01-25

2610

单点登录(SingleSignOn，SSO)，就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后，即可获得访问单点登录系统中其他关联系统和应用软件的权限，同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的，这意味着在多个应用系统中，用户只需一次登录就可以访问所有相互信任的应用系统。随着企业各系统越来越多，如办公自动化(OA)系统，财务管理系统，档案管理系统，信...

认证授权：OAuth2简介及四种授权模型详解

GIS摆渡人

06-27

4400

如今很多互联网应用中，OAuth2 是一个非常重要的认证协议，很多场景下都会用到它，Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准，该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源（如头像、照片、视频等），并且在这个过程中无须将用户名和密码提供给第三方应用。通过令牌（token）可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。

OAuth2.0 实现单点登录