标签: oauth-2.0 openid-connect
当OpenIdConnect或OAuth2的授权代码流更改凭据时,我已经讨论了规范。
当IdP管理的凭据(ID和密码)发生更改时,RP中存储的访问令牌将被丢弃,需要再次进行用户身份验证?或者它应该能够像更改之前那样使用访问令牌吗?
答案 0 :(得分:0)
访问令牌生命周期未链接到用户帐户状态。
如果资源所有者凭据已更改,或者即使其帐户已被阻止,访问令牌仍然有效。
通常,访问令牌由客户端本身(撤销端点)或发布者(安全策略/受损令牌)撤销。