如果oauth是无状态的，google如何销毁oauth令牌？_Oauth_Oauth 2.0_Jwt_Google Oauth

如果oauth是无状态的，google如何销毁oauth令牌？

oauth oauth-2.0 jwt

如果oauth是无状态的，google如何销毁oauth令牌？,oauth,oauth-2.0,jwt,google-oauth,Oauth,Oauth 2.0,Jwt,Google Oauth,我知道oauth是如何工作的，在成功地通过身份验证之后，您可以使用jwt令牌发出请求但问题是我如何跟踪有多少活动令牌存在，或者在令牌过期之前销毁它们。假设google或github，当您使用oauth进行身份验证并向您提供访问令牌时，您还可以在其仪表板上跟踪或销毁令牌。所以他们怎么知道我的代币不再有效。我认为唯一的方法是，当授予访问令牌时，它们也会建立会话但问题是他们必须检查会话是否仍然有效，或者是否存在于每个请求中。如果他们在每个请求上都检查它，那么无状态点在哪里？它是无状态的，没有会话

我知道oauth是如何工作的，在成功地通过身份验证之后，您可以使用jwt令牌发出请求

但问题是我如何跟踪有多少活动令牌存在，或者在令牌过期之前销毁它们。假设google或github，当您使用oauth进行身份验证并向您提供访问令牌时，您还可以在其仪表板上跟踪或销毁令牌。所以他们怎么知道我的代币不再有效。我认为唯一的方法是，当授予访问令牌时，它们也会建立会话

但问题是他们必须检查会话是否仍然有效，或者是否存在于每个请求中。如果他们在每个请求上都检查它，那么无状态点在哪里？

它是无状态的，没有会话。

希望撤销令牌的OAuth实现使用所有端点都可以访问的令牌撤销列表来撤销令牌。

OAuth2不必是无状态的或使用JWTs。如果服务提供者有一个列有令牌的仪表板，那么这不是无状态的——它们由提供者存储，并在您访问相应的资源时进行检查。