Oauth 2.0 访问令牌是否应在oauth2.0中注销时过期
我正在尝试实现Oauth 2.0提供程序。我对访问令牌授权感到困惑。我正在node.js中使用oauth2orize模块Oauth 2.0 访问令牌是否应在oauth2.0中注销时过期,oauth-2.0,Oauth 2.0,我正在尝试实现Oauth 2.0提供程序。我对访问令牌授权感到困惑。我正在node.js中使用oauth2orize模块 当用户从身份验证服务器注销时,我是否应该删除与特定用户相关的所有访问令牌?我正在为浏览器构建移动和单页应用程序,我正在使用资源所有者密码凭据流。访问令牌应在多长时间内有效,以及应在注销时过期?通常,应用程序将在执行注销之前撤销访问令牌。通常,如果应用程序获得刷新令牌,它将撤销该令牌,因为这也将使任何和所有访问令牌无效 从授权服务器的角度来看,我会将这些事情分开,并实现这两个方
当用户从身份验证服务器注销时,我是否应该删除与特定用户相关的所有访问令牌?我正在为浏览器构建移动和单页应用程序,我正在使用资源所有者密码凭据流。访问令牌应在多长时间内有效,以及应在注销时过期?通常,应用程序将在执行注销之前撤销访问令牌。通常,如果应用程序获得刷新令牌,它将撤销该令牌,因为这也将使任何和所有访问令牌无效 从授权服务器的角度来看,我会将这些事情分开,并实现这两个方面:
- 撤销()
- 注销()