我正在使用2.0.1版本中的Spring OAuth2。 在成功完成OpenID连接流程并以Salesforce作为提供者后,我已成功在RP应用程序中验证用户。
现在,在成功进行身份验证后,稍后将通过API在Salesforce站点撤消令牌:https://na17.salesforce.com/services/oauth2/revoke?token=
但即使在令牌被撤销后,用户也可以对RP应用程序进行经过身份验证的REST API调用,不受影响。问题是,Spring OAuth2框架中是否有一种机制来检测提供者端的撤销,以便我可以在RP应用程序中注销用户?
仅供参考,openid连接规范描述了理论上如何做到这一点:http://openid.net/specs/openid-connect-session-1_0.html