OAuth:客户端撤销对多个访问令牌的访问
OAuth: Client revoking access of several access tokens
假设我是一个客户端应用程序,我请求资源所有者使用像 Facebook 和 Google 这样的授权服务器(和资源服务器)来共享他们的资源。让我们假设我的一些访问令牌被泄露了。在这种情况下,我可以请求 Facebook 或 Google 撤销所有这些令牌吗?
(我已经知道令牌是短暂的。但我们可以撤销访问权限吗?我尝试在 Facebook 开发人员部分/ Stack Overflow 上查找它,但没有偶然发现任何关于此的信息)
访问令牌的有效期通常为一小时。访问令牌已过期
{
"nbf": 1528875493,
"exp": 1528875793,
.......
}
Exp 告诉您访问令牌何时过期。它们实际上并未存储在任何地方的服务器上。因此,Facebook 或 Google 无法撤销访问令牌。因为访问令牌是短暂的,所以假设它们是相当安全的,因为如果有人确实获得了您的访问令牌,那么他们可以使用它的时间非常有限。
假设我是一个客户端应用程序,我请求资源所有者使用像 Facebook 和 Google 这样的授权服务器(和资源服务器)来共享他们的资源。让我们假设我的一些访问令牌被泄露了。在这种情况下,我可以请求 Facebook 或 Google 撤销所有这些令牌吗? (我已经知道令牌是短暂的。但我们可以撤销访问权限吗?我尝试在 Facebook 开发人员部分/ Stack Overflow 上查找它,但没有偶然发现任何关于此的信息)
访问令牌的有效期通常为一小时。访问令牌已过期
{
"nbf": 1528875493,
"exp": 1528875793,
.......
}
Exp 告诉您访问令牌何时过期。它们实际上并未存储在任何地方的服务器上。因此,Facebook 或 Google 无法撤销访问令牌。因为访问令牌是短暂的,所以假设它们是相当安全的,因为如果有人确实获得了您的访问令牌,那么他们可以使用它的时间非常有限。