oauth2/logout 用户是否使发给该用户的任何刷新令牌失效
Does the oauth2/logout user invalidate any refresh tokens issued to the user
我正在使用 /oauth2/logout 端点将用户从 fusionauth 注销,如 here 所述。
我知道 JWT 在过期之前一直有效,如果需要,我们可以在过期前使用 webhooks 使其失效。但是我们是否需要明确地使发给用户的任何刷新令牌过期,或者 fusionauth 是否会自动使它们失效?
OAuth2 核心规范不包括令牌撤销。但是撤销令牌已通过 "extension" 标准指定(参见 RFC7009)。
事实是,API 提供商通常不会在其 API 中包含 URL 来处理令牌撤销。他们主要依赖 access_token 到期。
话虽如此,仅根据 FusionAuth,I've found this issue 这解释了为什么它没有得到广泛支持。
我正在使用 /oauth2/logout 端点将用户从 fusionauth 注销,如 here 所述。
我知道 JWT 在过期之前一直有效,如果需要,我们可以在过期前使用 webhooks 使其失效。但是我们是否需要明确地使发给用户的任何刷新令牌过期,或者 fusionauth 是否会自动使它们失效?
OAuth2 核心规范不包括令牌撤销。但是撤销令牌已通过 "extension" 标准指定(参见 RFC7009)。
事实是,API 提供商通常不会在其 API 中包含 URL 来处理令牌撤销。他们主要依赖 access_token 到期。
话虽如此,仅根据 FusionAuth,I've found this issue 这解释了为什么它没有得到广泛支持。