标签: http authentication oauth-2.0 authorization access-token
我真的很想了解为什么我们在撤销访问令牌时需要执行Authorization Basic(客户端凭据)身份验证。为什么我们不能使用授权承载身份验证。
现有的OAuth令牌撤销端点包括基本身份验证(客户端凭据),并将要执行操作的访问令牌放置在请求正文中,为什么我们不能仅使用承载身份验证将访问令牌放置在标头中。然后,认证后的授权服务器将撤消放置在标头中的令牌。