当用户在 Oauth2 中更改用户名时应该发生什么
What should happen to when user changes username in Oauth2
我是 Oauth2 的新手,我想知道在用户更改用于授权客户端的用户名的情况下会发生什么。
更改成功请求客户端新的访问代码后,所有访问令牌都应该过期吗?
或
身份验证服务器要使用新用户名更新访问令牌?
一般情况下,用户的用户名和用户的唯一ID是不同的。如果访问令牌与唯一 ID(而不是用户名)相关联,则即使用户名已更改,您也不必使访问令牌失效或更新。
否则,如果您将访问令牌与用户名相关联(而不是唯一 ID),当用户名更改时,您应该使访问令牌无效或使用新用户名更新访问令牌。
OAuth 规范没有指定应该发生什么 -- 用户通过身份验证并获得令牌,只要该令牌有效,他们就拥有有效授权"session"。
不过,您可以根据需要使令牌和授权会话无效。因此,作为一项政策,如果您想在帐户发生变化时使他们的令牌失效,那么您可以自由地这样做。
请记住使用户的访问令牌和刷新令牌都无效,否则他们可能会使用他们的刷新令牌来使用访问令牌重新开始。
我是 Oauth2 的新手,我想知道在用户更改用于授权客户端的用户名的情况下会发生什么。
更改成功请求客户端新的访问代码后,所有访问令牌都应该过期吗?
或
身份验证服务器要使用新用户名更新访问令牌?
一般情况下,用户的用户名和用户的唯一ID是不同的。如果访问令牌与唯一 ID(而不是用户名)相关联,则即使用户名已更改,您也不必使访问令牌失效或更新。
否则,如果您将访问令牌与用户名相关联(而不是唯一 ID),当用户名更改时,您应该使访问令牌无效或使用新用户名更新访问令牌。
OAuth 规范没有指定应该发生什么 -- 用户通过身份验证并获得令牌,只要该令牌有效,他们就拥有有效授权"session"。
不过,您可以根据需要使令牌和授权会话无效。因此,作为一项政策,如果您想在帐户发生变化时使他们的令牌失效,那么您可以自由地这样做。
请记住使用户的访问令牌和刷新令牌都无效,否则他们可能会使用他们的刷新令牌来使用访问令牌重新开始。