【问题标题】:Should access token expire on logout in oauth2.0oauth2.0 中的访问令牌是否应在注销时过期
【发布时间】:2013-11-26 17:59:22
【问题描述】:

我正在尝试实施 Oauth 2.0 提供程序。我对访问令牌授予感到困惑。我在 node.js 中使用 oauth2orize 模块。

当用户从身份验证服务器注销时,我是否应该删除与特定用户相关的所有访问令牌?我正在为浏览器构建移动和单页应用程序,并且正在使用资源所有者密码凭证流。访问令牌的有效期应为多长时间?是否应在注销时过期?

【问题讨论】:

    标签: oauth-2.0


    【解决方案1】:

    通常,应用会在执行注销之前撤销访问令牌。通常情况下,如果应用获得了刷新令牌,它会撤销刷新令牌,因为这也会使所有访问令牌失效。

    从授权服务器的角度来看,我会将这些东西分开并同时实现:

    然后,客户可以根据需要使用其中一个/两个。如果您的环境中有一些限制,您可以在您的授权服务器注销期间自动撤销令牌。不过一般来说,它应该允许两者独立使用并让客户控制。

    【讨论】:

      猜你喜欢
      • 2012-02-17
      • 1970-01-01
      • 2021-03-30
      • 1970-01-01
      • 2018-09-11
      • 1970-01-01
      • 1970-01-01
      • 2018-12-28
      • 2016-11-23
      相关资源
      最近更新 更多