服務器端刪除Oauth令牌
[英]Server side removal of Oauth token
問題描述
如果用戶想從我們的服務中刪除他/她自己,我們將從數據庫中刪除其所有數據,包括Oauth令牌。 我們擁有的Oauth令牌是安全且持久的。 作為最佳做法的一部分,我們希望使令牌完全無效,就像它們想要進入其Google帳戶頁面並將其刪除一樣。 在閱讀Oauth文檔時,我不清楚這是否可行,因為所有示例都與單會話或非安全案例有關(並且請原諒我缺乏“您嘗試了什么?”的想法,但是我試圖共同制定一個快速計划,以了解如何執行此操作)。
所以
1)這可能嗎? 最好在1.0?
2)該怎么做?
1 個解決方案
解決方案1
6 已采納 2012-06-19 01:11:03
是的,您可以通過編程方式撤消令牌,就像用戶在其帳戶設置頁面中撤消了訪問權限一樣。
對於AuthSub和OAuth 1.0,通過向以下對象發出OAuth簽名的請求來使用AuthSubRevoke令牌終結點 :
https://www.google.com/accounts/AuthSubRevokeToken
對於OAuth 2.0,請使用撤銷端點,例如:
https://accounts.google.com/o/oauth2/revoke?token={refresh_token}
無法通過服務器端OAuth Fow獲得壽命很長的Facebook訪問令牌
[英]Unable to get a long-lived Facebook Access Token with Server Side OAuth Fow
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.