我无法通过密码重置或在用户管理中明确清除应用程序密钥来撤销用户的应用程序访问权限。后一种方法给出的答复表明访问已被撤销,但是当用户点击该工具时,不会再次提示他们批准对其信息的访问。
问问题
74 次
1 回答
2
这里有多种可能性:
声明的密钥撤销与通过数据库并实际清理它们的清理任务之间可能存在延迟;我相信在某一时刻,这种延迟是存在的,是通过服务包和后续版本确定并修复的。因此,您可以通过确保您的后端服务与可用的服务包保持最新来解决此问题。
被撤销的可能是密钥,以及对重建密钥进行身份验证的必要性,但不是用户要求访问权限的确认步骤(假设用户一旦通过身份验证,并选中“不要提示我再次请求许可”)对话框。
您能否确认客户端应用程序对用户令牌的请求是否确实返回了令牌?还是只是在没有通知客户端确认访问的情况下发生身份验证步骤?
请注意,重新身份验证可能会以静默方式发生;如果客户端应用程序对用户令牌的请求是通过用户的浏览器上下文发生的,后端服务可以确定用户已经登录到 LMS,那么对令牌的请求可能会自动成功:
假设用户已经通过身份验证才能进行活动的 Web 会话,因此无需重新收集用户名/密码(或 LMS 使用的任何用户身份验证步骤)来重新确认身份。
用户可能已经确认了对应用程序的访问,并以“不要再问我”取消了确认步骤。如果用户已通过“不再询问我”确认访问权限,则即使用户令牌由于密码更改或管理员撤销访问权限而过期,也会记住此选择。
如果您明确将用户从他们的 LMS 会话中注销,然后测试客户端应用程序,这应该会明显地向您表明重新身份验证步骤是否实际发生(然后用户的浏览器将被定向到登录过程以进行后面-结束服务)。
请注意,尽管管理员更改用户密码或撤销访问权限可以删除与应用程序关联的记录的用户 ID/密钥对,但它不会删除已以“不再询问”的方式关闭的确认表单的记录。目前我们的系统没有公开重置确认状态的方法。
如果在考虑了这些要点之后您仍然有问题,我建议您通过您组织的批准支持联系人或您的客户或合作伙伴经理提出支持事件。Desire2Learn 非常重视与安全相关的报告,如果您发现了尚未解决的问题,我鼓励您将其报告为缺陷。
于 2013-08-16T23:23:26.183 回答