我正在尝试了解OpenID / OAuth 2.0上下文中的令牌滥用情况。
在grant_type=authorization_code方案中,成功的用户授权后,访问令牌和刷新令牌可供客户端应用程序使用。令牌刷新使客户端应用程序可以轻松地在几乎无限的时间内使用用户资源。
是否可以通过客户端应用限制访问和刷新令牌的使用? 场景:用户希望仅在关闭浏览器之前授权客户端应用程序访问资源。之后,令牌应该无效。
答案 0 :(得分:1)
对于此类控制,用户完全依赖于身份提供程序的实现方式。可以以这种方式实现身份提供者,例如,它可以询问用户何时认证会话应在同意屏幕上到期。但是,我从来没有见过这样的实现。某些身份提供商允许手动撤销已发布的令牌,但这通常隐藏在身份提供商网站的深层导航背后。