Spring 当用户在Oauth2中更改用户名时会发生什么情况
我对Oauth2非常陌生,我想知道在用户更改用于授权客户端的用户名的情况下会发生什么 所有访问令牌是否应在更改成功请求客户端使用新的访问代码后过期 或Spring 当用户在Oauth2中更改用户名时会发生什么情况,spring,spring-security,oauth-2.0,spring-security-oauth2,Spring,Spring Security,Oauth 2.0,Spring Security Oauth2,我对Oauth2非常陌生,我想知道在用户更改用于授权客户端的用户名的情况下会发生什么 所有访问令牌是否应在更改成功请求客户端使用新的访问代码后过期 或 身份验证服务器将使用新用户名更新访问令牌?在正常情况下,用户的用户名和用户的唯一ID是不同的。如果访问令牌与唯一ID(而不是用户名)关联,则即使用户名已更改,也不必使访问令牌无效或更新 否则,如果您将访问令牌与用户名(而不是唯一ID)关联,则在更改用户名时,应使访问令牌无效或使用新用户名更新访问令牌。在正常情况下,用户的用户名和用户的唯一ID是不
身份验证服务器将使用新用户名更新访问令牌?在正常情况下,用户的用户名和用户的唯一ID是不同的。如果访问令牌与唯一ID(而不是用户名)关联,则即使用户名已更改,也不必使访问令牌无效或更新
否则,如果您将访问令牌与用户名(而不是唯一ID)关联,则在更改用户名时,应使访问令牌无效或使用新用户名更新访问令牌。在正常情况下,用户的用户名和用户的唯一ID是不同的。如果访问令牌与唯一ID(而不是用户名)关联,则即使用户名已更改,也不必使访问令牌无效或更新
否则,如果您将访问令牌与用户名(而不是唯一ID)关联,则在更改用户名时,您应该使访问令牌无效或使用新用户名更新访问令牌。OAuth规范没有指定应该发生的事情——用户通过身份验证并获得令牌时,他们有一个活动的授权“会话”只要该令牌有效 不过,您可以随意使令牌和授权会话无效。因此,作为一项政策,如果您想在帐户发生更改时使他们的代币失效,那么您可以自由地这样做
请记住,要使用户的访问令牌和刷新令牌失效,否则他们可能只是使用其刷新令牌以访问令牌重新开始。OAuth规范没有指定应该发生什么-用户通过身份验证并获得令牌时,他们有一个活动的授权“会话”只要该令牌有效 不过,您可以随意使令牌和授权会话无效。因此,作为一项政策,如果您想在帐户发生更改时使他们的代币失效,那么您可以自由地这样做 只需记住让用户的访问令牌和刷新令牌失效,否则他们可能只是使用其刷新令牌以访问令牌重新开始