在Oauth或Openid Connect中,假设攻击者获取访问权限或刷新令牌,并清除浏览器或应用程序的缓存 . 如果用户的字符串未明确知晓,用户是否可以撤销身份提供商发出的访问或刷新令牌?
如果您的令牌提供者至少是OAuth 2.0提供者,则必须实现OAuth 2.0 Token Revocation .该URL应由OpenID Connect-Provider在/.well-known/openid-configuration中作为"revocation_endpoint"提供 .
它实际上取决于身份提供商的实现,但通常您应该能够撤销至少刷新令牌 . 刷新令牌通常存储在IDP的持久存储中,并且用户可以登录到IDP以管理客户端授权和刷新令牌 . 例如,Google允许用户管理以下内容:https://security.google.com/settings/security/permissions
2 回答
如果您的令牌提供者至少是OAuth 2.0提供者,则必须实现OAuth 2.0 Token Revocation .
该URL应由OpenID Connect-Provider在/.well-known/openid-configuration中作为"revocation_endpoint"提供 .
它实际上取决于身份提供商的实现,但通常您应该能够撤销至少刷新令牌 . 刷新令牌通常存储在IDP的持久存储中,并且用户可以登录到IDP以管理客户端授权和刷新令牌 . 例如,Google允许用户管理以下内容:https://security.google.com/settings/security/permissions