我对Oauth2很新,我想知道在用户更改用于授权客户端的用户名的情况下会发生什么。
在更改成功请求客户端获取新访问代码后,所有访问令牌是否都会过期?
或
访问令牌将由身份验证服务器使用新用户名更新?
答案 0 :(得分:3)
在正常情况下,用户的用户名和用户的唯一ID是不同的。如果访问令牌与唯一ID(不是用户名)相关联,则即使更改了用户名,也不必使访问令牌无效或更新。
否则,如果您将访问令牌与用户名(而不是唯一ID)相关联,则在更改用户名时,您应该使用新用户名无效访问令牌或更新访问令牌。
答案 1 :(得分:1)
OAuth规范未指定应该发生什么 - 用户通过身份验证并获取令牌,只要该令牌有效,他们就会拥有一个活动授权“会话”。
但是,您可以根据需要使令牌和授权会话无效。因此,作为一项政策问题,如果您想在帐户发生变更时使其令牌无效,那么您可以自由地执行该操作。
请记住为用户无效访问令牌和刷新令牌,否则他们可能只是使用刷新令牌重新启动访问令牌。