【发布时间】:2013-11-26 17:59:22
【问题描述】:
我正在尝试实施 Oauth 2.0 提供程序。我对访问令牌授予感到困惑。我在 node.js 中使用 oauth2orize 模块。
当用户从身份验证服务器注销时,我是否应该删除与特定用户相关的所有访问令牌?我正在为浏览器构建移动和单页应用程序,并且正在使用资源所有者密码凭证流。访问令牌的有效期应为多长时间?是否应在注销时过期?
【问题讨论】:
标签: oauth-2.0
我正在尝试实施 Oauth 2.0 提供程序。我对访问令牌授予感到困惑。我在 node.js 中使用 oauth2orize 模块。
当用户从身份验证服务器注销时,我是否应该删除与特定用户相关的所有访问令牌?我正在为浏览器构建移动和单页应用程序,并且正在使用资源所有者密码凭证流。访问令牌的有效期应为多长时间?是否应在注销时过期?
【问题讨论】:
标签: oauth-2.0
通常,应用会在执行注销之前撤销访问令牌。通常情况下,如果应用获得了刷新令牌,它会撤销刷新令牌,因为这也会使所有访问令牌失效。
从授权服务器的角度来看,我会将这些东西分开并同时实现:
然后,客户可以根据需要使用其中一个/两个。如果您的环境中有一些限制,您可以在您的授权服务器注销期间自动撤销令牌。不过一般来说,它应该允许两者独立使用并让客户控制。
【讨论】: