我应该在用户更改OAuth 2.0中的密码时调用用户令牌

时间:2016-12-23 02:07:55

标签: oauth-2.0

我在OAuth 2.0(资源所有者密码凭据授予)之后实施身份验证。我应该在用户更改密码时调用用户吗?

1 个答案:

答案 0 :(得分:0)

在此资源所有者密码凭据授予中,您无需在更改密码时撤消该用户。原因是每当用户更改密码时,授权服务器将使用新密码进行更新,并且当用户在更改密码后下次登录时,将为用户匹配新密码,并且只有在密码匹配。我认为更改密码时提供的令牌不需要被撤销,也不会被授予正确的客户端凭据。

唯一的事情是用户下次注销时需要确保在授权服务器中更新密码,并根据新密码授予令牌。