PingFederate(版本7.1.3.1)上是否有任何端点,我们可以使用它来撤销OAuth访问令牌?
答案 0 :(得分:6)
PingFederate 7.2中有一些新功能可以启用此功能。
请参阅:
http://documentation.pingidentity.com/display/PF72/Token+Revocation+Endpoint(支持RFC 7009 - 需要呈现现有的访问令牌或刷新令牌)
和
http://documentation.pingidentity.com/display/PF72/OAuth+Access+Grant+Management+Service(用于撤销可能影响以前发布的访问令牌的“持久授权”的API,具体取决于配置)
您可能已经意识到,但最终用户还面临着自原始OAuth功能以来一直在产品中的授权管理页面。请参阅:http://documentation.pingidentity.com/display/PF72/Grant-Management+Endpoint
如果您的访问令牌被设置为基于令牌的参考,那么验证(通过token endpoint interaction)将表明如果撤销支持持久授权(通常意味着刷新令牌),它们将不再有效。如果您使用的是JSON Web令牌(JWT)格式的访问令牌,并且您希望撤消的持久授权影响它们,那么请确保其中包含访问授权GUID(请参阅访问授予GUID声明名称here)并且您'进行基于令牌端点的验证(不仅仅是本地验证RS中JWT上的签名)。