0

我正在使用/oauth2/logout端点将用户从 fusionauth 中注销,如此处所述

我知道 JWT 在过期之前都是有效的,如果需要,我们可以在过期前使用 webhook 使其失效。但是我们是否需要显式地使发给用户的任何刷新令牌失效,或者 fusionauth 是否会自动使它们失效?

4

1 回答 1

2

OAuth2 核心规范不包括令牌撤销。但是已经通过标准的“扩展”指定了撤销令牌(参见RFC7009)。

问题是,API 提供者通常不会在其 API 中包含 URL 来处理令牌撤销。他们主要依靠access_token到期。

话虽如此,仅根据 FusionAuth,我发现这个问题解释了为什么它没有得到广泛支持。

于 2019-12-02T09:40:40.560 回答