假设我是一个客户端应用程序,并且我请求资源所有者使用Facebook和Google等授权服务器(和资源服务器)共享其资源。让我们假设我的一些访问令牌受到了损害。在这种情况下,我可以要求Facebook或Google撤销所有这些令牌吗? (我已经知道令牌是短暂的。但是我们可以撤销访问权限。我尝试在Facebook开发人员部分/ Stack Overflow上查找它并且没有偶然发现任何事情)
答案 0 :(得分:1)
访问令牌通常是一小时短暂的。访问令牌中存在过期
{
"nbf": 1528875493,
"exp": 1528875793,
.......
}
Exp告诉您访问令牌何时到期。实际上并没有存储在任何地方的服务器上。因此,没有办法让Facebook或Google撤销访问令牌。因为访问令牌是短暂的,所以假设它们是相当安全的,因为如果有人确实获得了访问令牌,那么他们可以使用它的时间非常有限。