PingFederate(版本 7.1.3.1)上是否有任何端点可以用来撤销 OAuth 访问令牌?
问问题
3731 次
1 回答
8
PingFederate 7.2(及更高版本)中有一些功能可以实现这一点。请参阅:https ://support.pingidentity.com/s/document-item?bundleId=pingfederate-93&topicId= wmo1564003025254.html(支持 RFC 7009 - 需要出示现有的访问令牌或刷新令牌)
和:https ://support.pingidentity.com/s/document-item?bundleId=pingfederate-93&topicId=rlc1564003026400.html (用于撤销“持久授权”的 API,这可能会影响以前发布的访问令牌,具体取决于配置)
您可能已经知道,但自最初的 OAuth 功能以来,产品中还有一个面向最终用户的授权管理页面。请参阅:https ://support.pingidentity.com/s/document-item?bundleId=pingfederate-93&topicId=yjb1564003025319.html
如果您的访问令牌设置为基于引用的令牌,那么验证(通过自省端点)将表明,如果支持的持久授权(通常意味着刷新令牌)被撤销,它们将不再有效。如果您使用 JSON Web 令牌 (JWT) 格式的访问令牌,并且您希望撤销的持久授权影响它们,请确保其中包含访问授权 GUID(请参阅此处的访问授权 GUID 声明名称)并且您正在执行基于令牌端点的验证(不仅仅是本地验证 RS 中 JWT 上的签名)。
于 2014-09-02T17:18:28.880 回答