大家好,我在按照这篇文章实现使用OWIN OAuth的带有个人账户的Web API。
我的问题是是否有办法取消令牌对Web API的访问权限,“注销”方法对我没有任何作用,因为我将通过手机应用程序访问此Web API。 谢谢任何信息!
1个回答
2
撤销令牌很困难 - 但是您可以限制它们的生命周期并定期刷新它们。请参见此处:http://leastprivilege.com/2013/11/15/adding-refresh-tokens-to-a-web-api-v2-authorization-server/。
- leastprivilege
7
6您说撤销很难。这是否意味着它是可能的? - user20358
@user20358,如果你跟踪它们并添加到返回用户是否被授权的方法中,同时检查他们是否在你的跟踪列表中,那么这是非常可能的。 - ericosg
8我经常感到困惑,有人设计了一个系统,却不允许立即“关上门”。 - tymtam
@ericosg 如何“跟踪令牌”?我可以在服务器端看到它们,存储它们的哈希值吗? - Toolkit
@Toolkit 这只是一个想法,但是我确实是指存储哈希值。 - ericosg
显示剩余2条评论
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接