OAuth2中的令牌撤销

kcrjzv8t  于 2023-04-19  发布在  其他
关注(0)|答案(1)|浏览(200)

我们可以使用token revocation endpoint来撤销我们的访问和刷新令牌。但是想象一下这样一个场景,经过身份验证的客户端想要撤销绑定到不同客户端的令牌。
授权服务器应该撤销令牌吗?这种情况清楚地表明令牌在未授权的手中,但另一方面,它可能被用来破坏用户的经验(如果将被撤销)。
那么授权服务器通常是做什么的呢?有什么推荐的方法吗?

rta7y2nd

rta7y2nd1#

RFC7009第2.1节的内容如下:
授权服务器首先验证客户端凭证(在机密客户端的情况下),然后验证令牌是否被颁发给提出撤销请求的客户端。如果此验证失败,则请求被拒绝,并且授权服务器将如下所述通知客户端错误。
如果授权服务器(AS)满足此规范,则它应该仅撤销颁发给已认证客户端的令牌。如果客户端未通过认证或如果呈现的令牌不是针对此客户端的,则AS应该保持令牌不变,从而不会降低用户体验。

相关问题