我想知道是否有可能撤销ThinkTecture Identity Server发出的OAuth 2.0令牌,因为我想让我的应用程序注销。
答案 0 :(得分:2)
只有最新版本的ThinkTecture Identity Server版本3实现RFC 7009:https://tools.ietf.org/html/rfc7009才有可能实现这一点。请参阅https://github.com/IdentityServer/Thinktecture.IdentityServer3/blob/master/RELEASES.md版本1.1.0的发行说明,其中包含指向https://github.com/IdentityServer/Thinktecture.IdentityServer3/pull/858的链接。
答案 1 :(得分:0)
您是否阅读过这篇文章(http://leastprivilege.com/2013/11/15/adding-refresh-tokens-to-a-web-api-v2-authorization-server/)?
我引用下面的段落。
一旦发出令牌,就没有“内置”方式来撤销令牌。或者换句话说,您需要编写自己的机制,通常需要对每个请求进行数据库检查。可行 - 但经常失败的目的。
简而言之,为auth令牌提供较短的生命周期并在客户端中删除存储的令牌是适用的解决方案。