我有一个设置,客户端访问通过OAuth2刷新和访问令牌保护的WSO2 API Manager定义的API . 客户端使用授权代码流获取令牌,身份验证和授权由第三方软件完成 .
访问令牌的默认到期时间为3600秒(60分钟),刷新令牌没有到期(永久持续) .
现在我必须由用户或管理员从第三方应用程序管理刷新令牌撤销 . 用例是用户或应用程序管理员将删除客户端的授权访问权限,该访问权限应在WSO2 API Manager中撤消刷新令牌 . (不仅仅是客户端注销功能,因为客户端应用程序可能丢失或受到损害)
就像您拥有Google帐户一样,您可以使用帐户管理功能删除对应用的访问权限 . (Apps with access to your account)
WSO2 API Manager具有 revoke API,以便您可以将刷新令牌发送到撤消 . (Token API)
这意味着第三方应用程序也应该具有刷新令牌,以便通过该API撤销它,但我将其理解为安全流程,因为只有客户端节目已经收到刷新令牌并且能够使用它来更新访问令牌 .
如何在WSO2 API Manager中实现此类用例?第三方应用程序如何在不知情的情况下调用API进行令牌撤销?什么是正确的实施?