![](/img/trans.png)
[英]Implement OAuth2 with resource owner password credentials on Android
[英]Trying to implement OAuth resource owner password flow for an Android app - can I store refresh tokens in my database?
我有一個可通過Node JS后端進行身份驗證的Android應用。
我發出身份驗證令牌並刷新令牌並將其發送到我的應用程序。 我在想,如果auth令牌過期,則客戶端會將刷新令牌發送到后端以進行auth令牌刷新。 然后,后端確保刷新令牌仍在數據庫中,然后發回新的身份驗證令牌。
因為可以說用戶想要撤消從另一台設備(即儀表板)對Android應用程序的訪問。 他們基本上要求從數據庫中刪除刷新令牌,因此Android應用程序不再允許刷新。
這是實現流程的正確方法嗎? 如果不是,我如何正確地確保刷新令牌既可以使用又可以被用戶吊銷?
如果我了解您的用例,則這是OpenID Connect中涵蓋的條件。 (即您提到的身份驗證 ),並在OpenID Connect反向通道注銷1.0-草稿04中進行了介紹
“ 應該撤消在沒有offline_access屬性的情況下發出的刷新令牌,以注銷會話。
與offline_access財產通常發出刷新令牌不應撤銷。
注意:規范的一個未解決的問題是是否在注銷令牌中定義一個附加的可選參數,可能作為事件特定參數JSON對象中的一個值,該參數明確表示也要撤銷offline_access刷新令牌。”
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.