繁体 English 中英

Oauth2 / Openid Connect。如何撤消未知访问/刷新令牌

[英]Oauth2/Openid Connect. How to revoke unknown access/refresh tokens

原文 2015-03-10 06:52:51 0 2 security/ oauth-2.0/ authorization/ access-token/ openid-connect

在Oauth或Openid Connect中，假设攻击者获取访问权限或刷新令牌，并清除浏览器或应用程序的缓存。 如果用户的字符串未明确知晓，用户是否可以撤销身份提供商发出的访问权限或刷新令牌？

2 个解决方案

如果您的令牌提供商至少是OAuth 2.0提供商，则必须实施OAuth 2.0令牌撤销。
该URL应由OpenID Connect-Provider作为/.well-known/openid-configuration中的“revocation_endpoint”提供。

它实际上取决于身份提供商的实现，但通常您应该能够撤销至少刷新令牌。 刷新令牌通常存储在IDP的持久存储器中，并且用户可以登录到IDP以管理客户端授权和刷新令牌。 例如，Google允许用户通过以下网址管理这些内容： https ： //security.google.com/settings/security/permissions

OAuth 和 OpenId Connect 令牌说明

[英]OAuth and OpenId Connect Tokens clarification

在Android的共享首选项中安全存储Oauth2访问/刷新令牌？

[英]Safe to store Oauth2 access/refresh tokens in Shared Preferences in Android?

当用户使用Jersey和OAuth2更改密码时，如何撤消用户的所有令牌

[英]How to revoke all the tokens for a user when they change their password with Jersey and OAuth2

窃取oAuth2中的访问令牌

[英]Stealing access tokens in oAuth2

OAuth2密码授予与OpenID Connect

[英]OAuth2 Password Grant vs OpenID Connect

在OAuth2中刷新令牌有什么好处

[英]What benefits refresh tokens in OAuth2

如何坚持OAuth 2刷新令牌

[英]How to persist OAuth 2 refresh tokens

OAuth 和 OpenID Connect - 何时使用刷新令牌以及选择哪条路线

[英]OAuth & OpenID Connect - When To Use Refresh Token & Which Route To Choose

访问令牌：撤销与删除

[英]Access Tokens: Revoke vs Delete

移动应用的OAuth2访问令牌是否必须过期？

[英]Do OAuth2 access tokens for a mobile app have to expire?

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 OAuth 和 OpenId Connect 令牌说明在Android的共享首选项中安全存储Oauth2访问/刷新令牌？当用户使用Jersey和OAuth2更改密码时，如何撤消用户的所有令牌窃取oAuth2中的访问令牌 OAuth2密码授予与OpenID Connect 在OAuth2中刷新令牌有什么好处如何坚持OAuth 2刷新令牌 OAuth 和 OpenID Connect - 何时使用刷新令牌以及选择哪条路线访问令牌：撤销与删除移动应用的OAuth2访问令牌是否必须过期？

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM