1

如果用户想从我们的服务中删除他/她自己,我们会从我们的数据库中删除他们的所有数据,包括 Oauth 令牌。我们拥有的 Oauth 令牌是安全且持久的。作为最佳实践的一部分,我们希望完全使令牌无效,就好像他们想访问他们的 Google 帐户页面并在那里将其删除一样。阅读 Oauth 文档时,我不清楚这是否可能,因为所有示例都与单会话或非安全案例有关(请原谅我缺乏“你尝试了什么?”-ism 但我正在尝试一起制定如何执行此操作的快速计划)。

所以

1)这可能吗?最好在 1.0 上?

2)如何做到这一点?

4

1 回答 1

6

是的,您可以通过编程方式撤销令牌,就像用户在其帐户设置页面中撤销访问一样。

对于 AuthSub 和 OAuth 1.0,通过发出 OAuth 签名请求来使用AuthSubRevoke 令牌端点:

https://www.google.com/accounts/AuthSubRevokeToken

对于 OAuth 2.0,使用吊销端点,例如:

https://accounts.google.com/o/oauth2/revoke?token={refresh_token}
于 2012-06-19T01:11:03.160 回答