我是OAuth 2.0的新手。我在授权代码授权中使用了BShaffer的OAuth PHP服务器,我知道客户端应用程序可以将其OAuth令牌与其会话身份验证分开,也就是说,如果用户注销,则不会撤销访问令牌,并且当它到期时,刷新令牌用于获取新的访问令牌。
我正在使用具有OAuth用户凭据(或资源所有者)授权的API构建受信任的应用程序。我的问题是:
由于我处于OAuth用户凭据授权状态,OAuth是否应保留所有用户凭据并且只是用户身份验证层(这将作为SSO层)?
有了这个和给定的授权类型,我应该将OAuth令牌用作会话令牌吗?退出客户端应用程序后,我应该撤销OAuth令牌吗?