我正在开发一个android移动客户端,并使用oauth2签名到用c#编写的服务器上。一切正常,直到服务器重新启动。
我使对服务器的每次调用都崩溃了。.起初,我以为我的访问令牌不再有效。但是当我决定拥有自己的本地服务器后,我发现我的呼叫确实到达了服务器,并且由于一些静态的令牌和用户数据列表(服务器团队开发的这些数据和用户数据列表显然在重新启动服务器后被清除了)而使它们崩溃。 / p>
我已经告诉他们重新创建他们的数据列表和访问令牌,但是在那里对我来说没有运气。
我的问题, 我在服务器端和oauth2开发方面不太出色,但是我很确定有针对我想要的解决方案。我尝试搜索了几个小时而没有成功。我的想法是-为了使服务器拒绝服务器先前运行的所有旧访问令牌-我将在客户端中获得未经授权的代码(现在我只是迷恋服务器,我不知道为什么以及如何做出反应在我的应用中)-每次服务器重新启动时,它将具有随机种子,并将使用该种子创建其访问令牌。
有这样的东西吗?还是为懒惰的服务器端团队提供其他“不需要太多工作”的解决方案:)?
答案 0 :(得分:0)
向您颁发OAuth令牌的服务也是需要吊销令牌的服务。令牌中没有任何内容可以更改以使其失效也不会破坏它。
如果服务器因发送未知/无效令牌而崩溃,这是一个严重的问题。任何人都会(应该做)的第一步是验证令牌。显然他们不是。安全需要关注细节,并且由于令牌而导致服务器崩溃是一个安全问题(拒绝服务)。