我对Oauth2很新,我想知道在用户更改用于授权客户端的用户名的情况下会发生什么 .
更改成功后,所有访问令牌是否都会过期,请求客户端使用新的访问代码?
要么
访问令牌将由身份验证服务器使用新用户名更新?
在正常情况下,用户的用户名和用户的唯一ID是不同的 . 如果访问令牌与唯一ID(不是用户名)相关联,则即使更改了用户名,也不必使访问令牌无效或更新 .
否则,如果您将访问令牌与用户名(而不是唯一ID)相关联,则在更改用户名时,您应该使用新用户名使访问令牌无效或更新访问令牌 .
OAuth规范没有指定应该发生什么 - 一个用户通过身份验证并获取令牌,只要该令牌有效,他们就有一个活动授权“会话” .
但是,您可以根据需要使令牌和授权会话无效 . 因此,作为一项政策问题,如果您想在帐户发生变更时使其令牌无效,那么您可以自由地执行此操作 .
只需记住为用户无效访问令牌和刷新令牌,否则他们可能只是使用他们的刷新令牌重新开始访问令牌 .
2 回答
在正常情况下,用户的用户名和用户的唯一ID是不同的 . 如果访问令牌与唯一ID(不是用户名)相关联,则即使更改了用户名,也不必使访问令牌无效或更新 .
否则,如果您将访问令牌与用户名(而不是唯一ID)相关联,则在更改用户名时,您应该使用新用户名使访问令牌无效或更新访问令牌 .
OAuth规范没有指定应该发生什么 - 一个用户通过身份验证并获取令牌,只要该令牌有效,他们就有一个活动授权“会话” .
但是,您可以根据需要使令牌和授权会话无效 . 因此,作为一项政策问题,如果您想在帐户发生变更时使其令牌无效,那么您可以自由地执行此操作 .
只需记住为用户无效访问令牌和刷新令牌,否则他们可能只是使用他们的刷新令牌重新开始访问令牌 .