我是OAuth 2.0的新手。我创建了一个使用OAuth 2.0进行身份验证的API。现在,我正在尝试自己使用api。但我不确定如何在用户点击注销按钮后注销用户。我的问题是,在点击注销或删除用户会话后,我是否需要删除访问令牌。我正在使用密码授予类型。
提前致谢。
答案 0 :(得分:1)
如果您希望再次登录前不允许用户使用该应用程序,则必须从数据库中删除访问令牌,以使令牌无效,否则删除没有访问令牌的会话将不会使访问令牌无效,如果你使用密码授权类型,可以自己尝试,另一点,所以你不使用浏览器它不应该有任何会话。
答案 1 :(得分:0)
我将GET请求发送到地址" https://accounts.google.com/Logout?continue=http://google.com"从Google退出到" https://login.live.com/oauth20_logout.srf"从Microsoft注销," https://graph.facebook.com/me/permissions?method=delete"对于Facebook。 Microsoft还需要redirect_uri和client_id参数。
我认为此请求后该令牌不再有效,但我还没有通过测试。
答案 2 :(得分:0)
服务器端要做的事情:从数据库中删除 access_token 和 refresh_token 。
客户端要执行的操作:从浏览器的 localStorage 或 sessionStorage 或 cookie 清除数据