9

我正在我的应用程序中实现 OAuth 2,并且我已经拥有登录/刷新令牌,但是我在注销时遇到了一些麻烦。

我有这组由 Doorkeeper 生成的路由:

Routes for Doorkeeper::Engine:
          authorization GET    /authorize(.:format)                   doorkeeper/authorizations#new
          authorization POST   /authorize(.:format)                   doorkeeper/authorizations#create
          authorization DELETE /authorize(.:format)                   doorkeeper/authorizations#destroy
                  token POST   /token(.:format)                       doorkeeper/tokens#create
           applications GET    /applications(.:format)                doorkeeper/applications#index
                        POST   /applications(.:format)                doorkeeper/applications#create
        new_application GET    /applications/new(.:format)            doorkeeper/applications#new
       edit_application GET    /applications/:id/edit(.:format)       doorkeeper/applications#edit
            application GET    /applications/:id(.:format)            doorkeeper/applications#show
                        PUT    /applications/:id(.:format)            doorkeeper/applications#update
                        DELETE /applications/:id(.:format)            doorkeeper/applications#destroy
authorized_applications GET    /authorized_applications(.:format)     doorkeeper/authorized_applications#index
 authorized_application DELETE /authorized_applications/:id(.:format) doorkeeper/authorized_applications#destroy

我想要做的是撤销服务器中的令牌,所以我认为我必须调用的服务是“删除/授权”对吗?但我尝试了很多不同的方式来使用这些服务,我只发现错误。

顺便说一句,我不知道撤销服务器中的令牌还是只从应用程序中删除它是否正确?

PS:我在 iOS 7 中为我的客户端使用 AFNetworking 2。

4

2 回答 2

5

这并没有真正回答问题,但提供了相关信息。

我遇到的问题是,在对有效的用户/密码组合进行任何事先授权后,门卫会验证资源所有者密码凭据授予请求上的任何用户/密码组合。情景是:

  • 客户端使用有效的用户名和密码获得授权
  • 客户端重置/忘记授权令牌以结束授权
  • 客户端可以使用任何用户名和密码获得新的授权,为原用户授权。

结果是 Warden 将授权用户保持在会话中,而我的 iOS 客户端很高兴地为我维护会话。

我通过让管理员在验证后立即注销用户来解决这个问题。这是有效的,因为在授权请求中,OAuth 会使用授权令牌存储当前用户。它不需要让用户在会话中。

以下来自 config/initializers/doorkeeper.rb。最后两行在授权后进行注销。

# called for Resource Owner Password Credentials Grant
  resource_owner_from_credentials do
  request.params[:user] = {:email => request.params[:username], :password => request.params[:password]}
  request.env["devise.allow_params_authentication"] = true
  user = request.env["warden"].authenticate!(:scope => :user)
  env['warden'].logout
  user
end
于 2014-02-26T17:43:10.640 回答
1

如果我理解正确,问题是 1) 用户转到客户端应用程序,单击登录 2) 客户端应用程序从 oauth-server 获取身份验证。用户此时被要求输入用户名/密码 3) 用户在客户端应用程序中单击注销 4) 用户在客户端应用程序中再次单击登录,它会使用旧的经过身份验证的令牌自动让他登录,而不是再次要求用户名和密码,即你想要什么。

如果这是您的问题,则与 cookie 有关。检查每个请求中发送的 cookie。就我而言,我必须添加一行

cookies.delete '_oauth_server_name_session'

然后它起作用了。您可以先确认这是 cookie 问题,因为如果您切换浏览器(或进入隐身模式),这不会发生。

于 2015-07-29T08:37:07.633 回答