我使用 OAuth 2.0 在我的网站上登录用户。就像任何类型的网站一样,例如谷歌、Asana 等。
我想知道是否有一种方法可以在用户注销时仅撤销访问 token 而不撤销刷新 token 。
这是我的做法:
当用户登录时,我创建一个 session 并获取访问 token (如果用户是首次登录,则获取刷新 token )。当用户注销时,我只是使 session 无效,但访问 token 仍然有效。
当然,访问 token 会在一段时间后或当用户再次登录网络应用程序时失效,但我想知道访问 token 是否可以在注销过程中失效。
最佳答案
作为 token 撤销行为的实现,这个问题没有通用的答案。相关 token 是特定于授权服务器的。 Google 将使刷新 token 与被撤销的访问 token 一起失效,其他实现可能选择不这样做。然而,其他实现甚至可能根本不提供撤销访问 token 的方法。
对于 Google,您可以在注销时撤销访问 token ,如 https://developers.google.com/accounts/docs/OAuth2WebServer#tokenrevoke 中所述但它也会撤销关联的刷新 token 。然后您必须再次通过授权代码流以获得新的刷新 token ,您可以尝试使用 prompt=none 以避免提示用户。
关于http - Oauth 仅撤销访问 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28526092/