我有客户端访问通过OASO2刷新和访问令牌保护的WSO2 API Manager定义的API的设置。客户端使用授权代码流获取令牌,身份验证和授权由第三方软件完成。
访问令牌的默认到期时间为3600秒(60分钟),刷新令牌没有到期(永久持续)。
现在我必须由第三方应用程序管理用户或管理员的刷新令牌撤销。用例是用户或应用程序管理员将删除客户端的授权访问权限,该访问权限应在WSO2 API Manager中撤消刷新令牌。 (不仅仅是客户端注销功能,因为客户端应用程序可能会丢失或泄露)
如果您拥有Google帐户,则可以使用帐户管理功能删除对应用程序的访问权限。 (Apps with access to your account)
WSO2 API Manager具有revoke API,以便您可以将刷新令牌发送到撤消。 (Token API)
这意味着第三方应用程序也应该有刷新令牌,以便通过该API撤销它,但我将其理解为安全流程,因为只有客户端节目已收到刷新令牌并能够使用它才能续订访问令牌。
如何在WSO2 API Manager中实现此类用例?第三方应用程序如何在不知情的情况下调用API进行令牌撤销?什么是正确的实施?