【问题标题】:OAuth: Client revoking access of several access tokensOAuth:客户端撤销多个访问令牌的访问权限
【发布时间】:2018-11-22 13:31:46
【问题描述】:
假设我是一个客户端应用程序,我请求资源所有者使用 Facebook 和 Google 等授权服务器(和资源服务器)共享他们的资源。让我们假设我的一些访问令牌被泄露。在这种情况下,我可以要求 Facebook 或 Google 撤销所有这些令牌吗?
(我已经知道令牌是短暂的。但是我们可以撤销访问权限吗?我尝试在 Facebook 开发人员部分/堆栈溢出中查找它,但没有偶然发现任何东西)
【问题讨论】:
标签:
security
oauth
oauth-2.0
access-token
【解决方案1】:
访问令牌通常只存在一个小时。访问令牌内有过期时间
{
"nbf": 1528875493,
"exp": 1528875793,
.......
}
Exp 告诉您访问令牌何时到期。它们实际上并未存储在任何地方的服务器上。因此,Facebook 或 Google 无法撤销访问令牌。因为访问令牌是短暂的,所以假设它们是相当安全的,因为如果有人确实获得了您的访问令牌,那么他们可以使用它的时间非常有限。