尽管如此,我假设这是一个标准方案,但是我没有找到任何好的答案。如果用户被应用程序管理员禁用,如何立即撤消对应用程序的访问?他至少仍要拥有有效的令牌,直到令牌到期为止。
解决方案将是在每个请求上签入API,如果用户处于活动状态并可能缓存结果?还是在这种情况下标准提出了其他建议?
我们正在使用:Angular6 + ASP.NET Core 2 + Identity Server 4。
致谢。
答案 0 :(得分:1)
您需要使用reference tokens
和introspection
,它们基本上可以实现您所描述的内容-api调用权限提供者并将交换令牌替换为访问令牌,因此管理员在中央权限上的撤销是立即生效。
在开始使用这种方法之前,请确保了解优缺点,因为通常不需要立即撤销权限,而这可以通过短暂的访问令牌来实现。