跳过正文
  1. Oauth2s/

从0开始构建一个Oauth2Server服务 10

·19 字·1 分钟· loading
Oauth2 Oauth2 HTTP
demo007x
作者
demo007x
目录

从0开始构建一个Oauth2Server服务 10
#

删除应用程序和撤销Secrets
#

开发人员将需要一种方法来删除(或至少停用)他们的应用程序。为开发人员提供一种方法来为他们的应用程序撤销和生成新的客户端密码也是一个好主意。

删除应用程序
#

当开发者删除应用时,服务应告知开发者删除应用的后果。例如,GitHub 告诉开发者所有的 access token 都将被撤销,以及有多少用户会受到影响。

GitHub删除应用提示

删除应用程序应立即 撤销所有访问令牌和颁发给该应用程序的其他凭证,例如待处理的授权代码和刷新令牌。

撤销Secrets
#

该服务应为开发人员提供一种重置客户端密码的方法。在秘密被意外暴露的情况下,开发人员需要一种方法来确保可以撤销旧秘密。撤销秘密并不一定会使用户的访问令牌无效,因为如果开发人员还想使所有用户令牌无效,他们总是可以删除应用程序。

GitHub 重置客户端密码提示

重置秘密应该使所有现有的访问令牌保持活动状态。然而,这确实意味着任何使用旧密钥的已部署应用程序将无法使用旧密钥刷新访问令牌。已部署的应用程序需要先更新其机密,然后才能使用刷新令牌。

相关文章

从0开始构建一个Oauth2 Server服务 28
Oauth2 Oauth2 HTTP
术语参考 角色OAuth 定义了四种角色:- 资源所有者(用户)- 资源服务器(API)- 授权服务器(可以是AP
从0开始构建一个Oauth2 Server服务 27
Oauth2 Oauth2 HTTP
授权服务器要求支持设备流对于授权服务器来说并不是大量的额外工作。在向现有授权服务器添加对设备流的支持时,请记住以下几点。
从0开始构建一个Oauth2Server服务 3
Oauth2 Oauth2 HTTP
服务器端应用程序是处理 OAuth 服务器时遇到的最常见的应用程序类型。这些应用程序在 Web 服务器上运行,其中应用程序的源代码不向公众开放,因此它们可以维护其客户端机密的机密性。