Fatal编程技术网
  • oauth-2.0/
  • Oauth 2.0 OpenIdConnect/OAuth中的密码更改流

Oauth 2.0 OpenIdConnect/OAuth中的密码更改流

oauth-2.0

Oauth 2.0 OpenIdConnect/OAuth中的密码更改流,oauth-2.0,openid-connect,openid-provider,Oauth 2.0,Openid Connect,Openid Provider,我有一个使用AngularJS SPA和OpenIdConnect身份提供者的基本流程。我正在使用的服务器是IdentityServer3,但这在任何地方都应该是相同的,因为它是一个规范。我想知道这个流程是如何工作的 Idp有一个配置为使用的DB。对于IdentityServer 3,在 隐式流 SPA联系指定重定向URI的授权端点 IdP在检查详细信息并重定向到指定URI后进行授权。现在我们在浏览器中有了一个访问令牌 现在用户更改了密码。此密码在数据库中更新。此时,即使IdentityServ

我有一个使用AngularJS SPA和OpenIdConnect身份提供者的基本流程。我正在使用的服务器是IdentityServer3,但这在任何地方都应该是相同的,因为它是一个规范。我想知道这个流程是如何工作的

Idp有一个配置为使用的DB。对于IdentityServer 3,在

隐式流

  • SPA联系指定重定向URI的授权端点

  • IdP在检查详细信息并重定向到指定URI后进行授权。现在我们在浏览器中有了一个访问令牌

  • 现在用户更改了密码。此密码在数据库中更新。此时,即使IdentityServer3连接到的数据库中的密码已更新,令牌仍然是旧的
  • 在这一步中,可能会有一种方法使新令牌失效或发出新令牌,因为密码已更改
    • 因此,在我们使用规范中提到的某种工具使该令牌无效之前,Idp不会识别密码已更改

    这个解释正确吗?我是否需要做任何其他事情来向Idp表明密码已更改?OpenIdConnect/OAuth中没有用于更改密码的端点。对吧?

    我问得很仔细,因为我想在与我们的技术团队讨论之前了解这个关键流程。似乎很重要。

    我不明白“代币还是旧的”。“你的意思是“代币仍然有效”?@Bryan老问题。我的意思是,当密码更改时,令牌将失效。问了这些问题后,我意识到这是一个棘手的工作流程。没有实施它。