Security OAuth:客户端撤销对多个访问令牌的访问
假设我是一个客户端应用程序,我请求资源所有者使用Facebook和Google等授权服务器(和资源服务器)共享他们的资源。让我们假设我的一些访问令牌被破坏了。在这种情况下,我可以要求Facebook或谷歌撤销所有这些代币吗?Security OAuth:客户端撤销对多个访问令牌的访问,security,oauth,oauth-2.0,access-token,Security,Oauth,Oauth 2.0,Access Token,假设我是一个客户端应用程序,我请求资源所有者使用Facebook和Google等授权服务器(和资源服务器)共享他们的资源。让我们假设我的一些访问令牌被破坏了。在这种情况下,我可以要求Facebook或谷歌撤销所有这些代币吗? (我已经知道代币的寿命很短。但是我们可以撤销访问权吗?我试着在Facebook开发者部分/Stack Overflow上查找它,但没有发现这方面的任何问题)访问代币的寿命很短,通常为一小时。访问令牌中存在过期 { "nbf": 1528875493, "exp":
(我已经知道代币的寿命很短。但是我们可以撤销访问权吗?我试着在Facebook开发者部分/Stack Overflow上查找它,但没有发现这方面的任何问题)访问代币的寿命很短,通常为一小时。访问令牌中存在过期
{
"nbf": 1528875493,
"exp": 1528875793,
.......
}
Exp告诉您访问令牌何时过期。这些数据实际上并不存储在服务器上的任何位置。因此,Facebook或谷歌无法撤销访问令牌。由于访问令牌的寿命很短,因此假定它们是合理安全的,因为如果有人确实获得了您的访问令牌,那么他们可以使用它的时间非常有限