如果用户想要从我们的服务中移除他/她自己,我们会从我们的数据库中删除他们的所有数据,包括Oauth令牌。我们拥有的Oauth令牌是安全和持久的。作为最佳做法的一部分,我们希望将令牌完全无效,就好像他们想要使用Google帐户页面并将其删除一样。阅读Oauth文档我不清楚这是否可能,因为所有的例子都涉及单会话或非安全案例(并且原谅我缺乏“你尝试了什么?” - ism但我正在尝试快速计划如何做到这一点)。
所以
1)这可能吗?优选1.0?
2)怎么做?
答案 0 :(得分:5)
是的,您可以通过编程方式撤消令牌,就好像用户在其帐户设置页面中撤消了访问权限一样。
对于AuthSub和OAuth 1.0,请通过向OAuth签名的请求使用AuthSubRevoke token endpoint:
https://www.google.com/accounts/AuthSubRevokeToken
对于OAuth 2.0,请使用revocation endpoint之类的:
https://accounts.google.com/o/oauth2/revoke?token={refresh_token}