[英]Oauth2/Openid Connect. How to revoke unknown access/refresh tokens
在Oauth或Openid Connect中,假设攻击者获取访问权限或刷新令牌,并清除浏览器或应用程序的缓存。 如果用户的字符串未明确知晓,用户是否可以撤销身份提供商发出的访问权限或刷新令牌?
如果您的令牌提供商至少是OAuth 2.0提供商,则必须实施OAuth 2.0令牌撤销 。
该URL应由OpenID Connect-Provider作为/.well-known/openid-configuration中的“revocation_endpoint”提供。
它实际上取决于身份提供商的实现,但通常您应该能够撤销至少刷新令牌。 刷新令牌通常存储在IDP的持久存储器中,并且用户可以登录到IDP以管理客户端授权和刷新令牌。 例如,Google允许用户通过以下网址管理这些内容: https : //security.google.com/settings/security/permissions
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.