我之前处理WSO2 API Manager的场景时遇到过完全一样的问题，虽然错误码标了900901（提示token过期），但核心原因并不是token真的过期了——这是WSO2默认的安全机制导致的：当用户密码被修改时，系统会自动 invalidate 该用户名下所有的active access tokens，哪怕这些token设置的有效期是UNLIMITED。

为什么会出现这种情况？ #

WSO2 AM在验证access token时，除了检查有效期，还会关联用户的当前凭证状态。当管理员密码变更后，用户的身份凭证哈希值会更新，系统在验证旧token时会发现凭证不匹配，于是返回"Invalid Credentials"的错误，只是错误码复用了过期的900901，容易造成误解。

解决建议 #

1. 应急恢复（不推荐，仅用于紧急场景）

如果必须让旧token临时生效，你可以暂时恢复管理员的旧密码——但这会带来安全风险，只建议在紧急过渡时使用，之后一定要重新修改密码并通知客户端更新token。

2. 标准处理流程（推荐）

• 通知客户端重新获取token：所有使用该管理员账号生成的token都已经失效，必须让相关客户端使用新的管理员密码重新调用token端点获取新的access token。
• 改用服务账号（Service Account）：为了避免后续管理员密码变更影响业务API的调用，建议创建专门的服务账号（而非使用管理员账号）来生成API调用所需的token。服务账号的权限可以按需配置，密码变更也仅影响该服务账号的token，不会波及管理员账号的其他操作，安全性和可维护性更高。

3. 配置调整（谨慎操作，影响安全）

如果你确实需要关闭“密码变更失效token”的机制（不推荐，会降低系统安全性），可以修改WSO2的身份配置文件：

1. 打开repository/conf/identity/identity.xml
2. 找到<OAuth>节点下的<InvalidateTokensOnPasswordChange>配置，将其值改为false
3. 重启WSO2 AM服务

注意：这个配置会关闭密码变更时的token失效逻辑，意味着即使用户密码泄露并被修改，旧token仍然可以正常使用，存在明显的安全隐患，仅适合测试环境或特殊场景。

内容的提问来源于stack exchange，提问作者anshika