我已使用OAuth connector在Mule中配置了OAuth提供程序,并且当用户登录时我向用户提供访问权限,他们为每个登录的设备获取新的访问令牌,我的问题是什么当用户输入忘记密码或重置密码方案时,最好的办法是什么?
在这种情况下,他想撤销对所有已获得访问权限的设备的访问权限,因此它基本上意味着撤销所有已发出的访问令牌......答案here似乎表明以上是有效的方法,所以现在我的问题归结为mule中最好的实现技术。
Mule允许通过<oauth2-provider:revoke-token />
撤销令牌,但是使用它需要我维护一个针对每个用户的访问令牌列表,我想知道这是否是处理mule事物的唯一方法?< / p>
答案 0 :(得分:1)
这就是Mulesoft对查询所说的话。
不幸的是,当前的代码没有(或公开)方法:
- 撤销授予用户的所有令牌
- 获取授予用户的所有令牌
他们已经决定为此记录一个增强功能,并且会在适当的时候进行,一旦我拥有它,就会用链接更新答案。问题出在link
我在传递中实现此方法的方法是使用objectstore来主要针对给定用户名发出的令牌列表,每次用户登录时都需要将此列表附加到新令牌。
如果用户启动密码重置或忘记密码流,则将所有令牌拉向用户,并为每个令牌调用<oauth2-provider:revoke-token />
。
如果您对上述内容有任何建议,请与我们联系。