在Oauth或Openid Connect中,假设攻击者获取访问权限或刷新令牌,并清除浏览器或应用程序的缓存。如果用户的字符串未明确知道,用户是否可以撤销身份提供商发出的访问或刷新令牌?
答案 0 :(得分:1)
如果您的令牌提供商至少是OAuth 2.0提供商,则必须实施OAuth 2.0 Token Revocation。
该URL应由OpenID Connect-Provider作为" revocation_endpoint"提供。在/.well-known/openid-configuration。
答案 1 :(得分:0)
这实际上取决于身份提供商的实施,但通常您应该能够撤销至少刷新令牌。刷新令牌通常存储在IDP的永久存储器中,并且用户可以登录到IDP以管理客户端授权和刷新令牌。例如,Google允许用户通过以下网址管理这些内容:https://security.google.com/settings/security/permissions