如何使用带有隐式流程的OpenId Connect撤消用户对应用程序的访问权?

时间:2019-02-14 12:20:07

标签: openid identityserver4

尽管如此,我假设这是一个标准方案,但是我没有找到任何好的答案。如果用户被应用程序管理员禁用,如何立即撤消对应用程序的访问?他至少仍要拥有有效的令牌,直到令牌到期为止。

解决方案将是在每个请求上签入API,如果用户处于活动状态并可能缓存结果?还是在这种情况下标准提出了其他建议?

我们正在使用:Angular6 + ASP.NET Core 2 + Identity Server 4。

致谢。

1 个答案:

答案 0 :(得分:1)

您需要使用reference tokensintrospection,它们基本上可以实现您所描述的内容-api调用权限提供者并将交换令牌替换为访问令牌,因此管理员在中央权限上的撤销是立即生效。

在开始使用这种方法之前,请确保了解优缺点,因为通常不需要立即撤销权限,而这可以通过短暂的访问令牌来实现。