在 Oauth 或 Openid Connect 中,假设攻击者获取访问或刷新令牌,并清除浏览器或应用程序的缓存。如果用户的字符串未明确知道,用户能否撤销身份提供者颁发的访问或刷新令牌?
问问题
2371 次
2 回答
2
如果您的 Token-Provider 至少是 OAuth 2.0-Provider,它必须实现OAuth 2.0 Token Revocation。
URL 应由 OpenID Connect-Provider 作为 /.well-known/openid-configuration 中的“revocation_endpoint”交付。
于 2016-07-28T09:37:56.713 回答
0
这实际上取决于身份提供者的实现,但通常您应该能够撤销至少刷新令牌。刷新令牌通常存储在 IDP 的持久存储中,用户可以登录 IDP 来管理客户端授权和刷新令牌。例如,Google 允许用户在以下位置进行管理:https ://security.google.com/settings/security/permissions
于 2015-03-10T08:50:51.473 回答