【发布时间】:2019-11-29 19:27:38
【问题描述】:
我正在使用/oauth2/logout 端点将用户从 fusionauth 中注销,如here 所述。
我知道 JWT 在过期之前都是有效的,如果需要,我们可以在过期前使用 webhook 使其失效。但是我们是否需要显式地使颁发给用户的任何刷新令牌过期,或者 fusionauth 是否会自动使它们失效?
【问题讨论】:
标签: fusionauth
【发布时间】:2019-11-29 19:27:38
【问题描述】:
OAuth2 核心规范不包括令牌撤销。但是已经通过标准的“扩展”指定了撤销令牌(参见RFC7009)。
问题是,API 提供商通常不会在其 API 中包含 URL 来处理令牌撤销。他们主要依赖access_token过期。
话虽如此,仅根据 FusionAuth,I've found this issue 解释了为什么它没有得到广泛支持。
【讨论】:
-
谢谢@frenchcooc,该链接给了我所需的答案。
-
@frenchcooc 是正确的。 FusionAuth 在注销期间不会撤销刷新令牌。但是,当 FusionAuth 调用您的注销 URL 时,您的应用程序可以将它们从客户端(浏览器、移动设备等)中删除。您也可以在 FusionAuth 中调用 JWT revoke API 来删除刷新令牌。