[英]OAuth 2.0 How to invalidate granted auth tokens using password grant
對於以下場景:
用戶輸入他的憑據以登錄到 MVC 應用程序。 MVC 應用程序使用用戶的憑據和 MVC 應用程序的 Client.Id + Client.Secret 使用授權服務器的密碼授予令牌請求。 OAuth 令牌由 MVC 應用程序從授權服務器接收。 令牌被傳遞回客戶端,客戶端將令牌存儲在 LocalStorage 中。
現在我的問題:
如何使令牌無效,使用戶無法再訪問資源服務器(Web API)。 由於令牌現在駐留在 LocalStorage 中,MVC 應用程序無法再控制令牌。 一個解決方案可能是使用非常短的到期時間或使用一些SignalR東西來使令牌無效,但是對於獲得令牌訪問權的惡意用戶來說,有足夠的時間來制造壞事。 我認為沒有辦法立即使令牌無效。 並且資源服務器在令牌真正過期之前不會知道令牌已失效。
如果令牌已過期,流程是什么? 我可以在瀏覽器中使用 JavaScript 檢查到期日期/或等待來自資源服務器的 401 響應,並向我的 MVC 應用程序(客戶端)發出 Ajax 刷新令牌請求,然后從授權服務器請求新令牌(使用Client.Id + Client.Secret + UserCredentials)並將新令牌傳遞回瀏覽器,然后可以將其用於對資源服務器(Web API)的進一步請求。 這是正確的方法嗎?
在注銷/密碼更改時,我可以從 LocalStorage 中刪除令牌並使服務器端的令牌無效。
我認為您實際上已經回答了您自己的問題! 您不能使服務器端的令牌無效(除非 DNOA 處理我認為不會的令牌撤銷)。 令牌是不記名令牌,因此任何擁有它的人都可以在資源服務器上使用它,直到到期時間。 讓它保持短暫是最好的方法。
同樣在使用密碼授權時,您應該只使用用戶的憑據一次,以獲取初始令牌和刷新令牌。 然后,您可以將刷新令牌與 MVC 應用程序中的用戶 ID 相關聯,並在將來使用刷新令牌來獲取新的訪問令牌。
“錯誤:” “Unsupported_grant_type” 使用 OAuth 2.0,Owin。 密碼授予和授權授予
[英]“Error:” “Unsupported_grant_type” Using OAuth 2.0, Owin. Password Grant and Authorization Grant
如何使用 AD FS 2019 + MSAL 傳遞聲明,使用 OAuth 2.0 客戶端憑據授予類型
[英]How to pass though claims with AD FS 2019 + MSAL, using OAuth 2.0 client credentials grant type
如何使用具有來自 C# 可執行文件的“authentication_code”授權流類型的 OAuth 2.0 進行身份驗證?
[英]How to authenticate using OAuth 2.0 with `authentication_code` grant flow type from a C# executable?
使用Xamarin.Auth進行OAuth2身份驗證 - 用戶名和密碼?
[英]Using Xamarin.Auth for OAuth2 authentication - username and password?
Identity Server OAuth 2.0 代碼授予 - 如何在同意屏幕中請求自定義范圍的權限
[英]Identity Server OAuth 2.0 Code Grant - How To Request Permission For Custom Scopes In Consent Screen
如何從單頁應用程序實施OAuth 2.0授權代碼授予?
[英]How to implement OAuth 2.0 Authorization Code Grant from Single-Page Application?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
