我有一个问题，用户在使用postman注销应用程序后仍然可以调用api。注销后浏览器端没有问题，因为我已删除访问令牌并清除cookie。但是用户仍然可以使用postman调用api并获得结果，这意味着后端不会使oauth令牌无效。如果有人偷了访问码，这可能会导致安全问题。
我想在调用api之前应用验证。我将在数据库表中添加一列，其值为login或logout，以指示当前用户状态。然后，我将从数据库中为每一个被调用进行验证的api获取这个值。如果该值为logout，则api将返回一些错误消息。是否可以使用spring security执行此操作？