OAuth 实施 - 撤销访问令牌
OAuth Implementation - Revoke access tokens
我们已经实施了以下流程来撤销 OAuth 访问令牌/刷新令牌,以从我们的应用程序中删除link外部应用程序。
在注销/用户启动删除操作时,link我们删除从初始授权流程中获得的访问令牌和刷新令牌
用户必须再次通过授权流程才能获得访问令牌和刷新令牌
我们没有调用任何令牌撤销函数/API 调用授权服务器
我的问题是:
如果我们的应用发起了新的授权流程,授权服务器是否会自动撤销第一组访问令牌+刷新令牌?
这种方法是否有任何潜在的陷阱需要避免?
我们采用这种方法的原因是因为大多数第 3 方应用程序不提供与撤销访问权限相关的 API 并且要求用户转到第 3 方应用程序以删除访问权限/取消-link 授权的应用程序。
Does the authorization server automatically revoke the first set of access token + refresh token if a new authorization flow has been initiated by our app?
不,大多数不会。考虑一个用户从多个设备登录到您的应用程序的场景。每个人都会得到一个有效的 access/refresh 令牌。
所以,你不能指望这个。
我们已经实施了以下流程来撤销 OAuth 访问令牌/刷新令牌,以从我们的应用程序中删除link外部应用程序。
在注销/用户启动删除操作时,link我们删除从初始授权流程中获得的访问令牌和刷新令牌
用户必须再次通过授权流程才能获得访问令牌和刷新令牌
我们没有调用任何令牌撤销函数/API 调用授权服务器
我的问题是:
如果我们的应用发起了新的授权流程,授权服务器是否会自动撤销第一组访问令牌+刷新令牌?
这种方法是否有任何潜在的陷阱需要避免?
我们采用这种方法的原因是因为大多数第 3 方应用程序不提供与撤销访问权限相关的 API 并且要求用户转到第 3 方应用程序以删除访问权限/取消-link 授权的应用程序。
Does the authorization server automatically revoke the first set of access token + refresh token if a new authorization flow has been initiated by our app?
不,大多数不会。考虑一个用户从多个设备登录到您的应用程序的场景。每个人都会得到一个有效的 access/refresh 令牌。
所以,你不能指望这个。