我无法通过密码重置或在用户管理中明确清除应用密钥来撤消用户的应用访问权限。后一种方法给出了一个回复,表明访问已被撤销,但当用户点击该工具时,不会再次提示他们批准访问他们的信息。
答案 0 :(得分:2)
这里有很多可能性:
声明的密钥撤销与通过数据库的清理任务之间存在延迟,并实际清理它们;我相信,在某一点上,存在这样的延迟,并通过服务包和后续版本进行了识别和修复。因此,您可以通过确保您的后端服务与其可用服务包保持同步来解决此问题。
被撤销的内容可能是密钥,以及重建密钥进行身份验证的必要性,但不用户要求访问权限的确认步骤(假设用户一旦通过身份验证,并选中“不要提示我再次请求权限”)对话框。
您是否可以确认客户端应用程序对用户令牌的请求是否确实收回了令牌?或者只是认证步骤发生而没有客户确认访问的通知?
请注意,重新身份验证可能似乎发生静默;如果客户端应用程序的用户令牌请求是通过用户的浏览器上下文发生的,后端服务可以确定该用户已经登录到LMS,那么令牌请求可以自动成功:
假设用户已经过身份验证以进行活动的网络会话,因此无需重新收集用户名/密码(或LMS使用的任何用户身份验证步骤)以重新确认身份
用户可能已经已确认访问 已取消确认步骤“请勿再次询问我”。如果用户已经确认访问时“请不要再问我”,那么即使用户令牌由于密码更改或管理员的访问撤销而过期,也会记住此选择。
如果您明确地将用户从LMS会话中注销,然后测试客户端应用程序,则应该明确指示重新身份验证步骤是否实际发生(然后用户的浏览器将被定向到登录进程用于后端服务)。
请注意,虽然管理员更改了用户密码或访问撤消操作,但可以删除与应用程序关联的已记录用户ID /密钥对,但 删除已确认表单的记录因“不再问”而被解雇。目前,我们的系统没有公开重置该确认状态的方法。
如果在考虑了这些问题之后您仍然遇到问题,我建议您open a support incident通过您所在组织的批准支持联系人,或您的帐户或合作伙伴经理。 Desire2Learn非常重视安全相关报告,如果您发现了尚未解决的问题,我建议您将其报告为缺陷。