我正在尝试实现Oauth 2.0提供程序。我对访问令牌授予感到困惑。我在node.js中使用oauth2orize模块。
我很困惑,当用户从auth服务器注销时,是否应该删除与特定用户相关的所有访问令牌?我正在为浏览器构建移动和单页应用程序,我正在使用资源所有者密码凭据流。访问令牌有效期应该多久并且在注销时是否到期?
答案 0 :(得分:0)
通常,应用程序会在执行注销之前撤销访问令牌。通常,应用程序会在获得刷新令牌后将其撤消,因为这也会使所有访问令牌失效。
从授权服务器的角度来看,我将把这些东西分开并实现两者:
然后,客户端可以根据需要使用这两种情况之一。如果您的环境中有一些限制,则可以在注销期间在授权服务器中自动吊销令牌。通常,尽管如此,它应该允许两者独立使用并使客户端处于控制状态。