Non l'ho letto da solo, ma un collega mi ha detto che l'utente finale può revocare il suo token OAuth. Ho cercato ma non ho trovato abbastanza documenti su:
grazie!
È una buona opzione per gli utenti finali, sebbene il protocollo non imponga questa possibilità. Immagina il seguente scenario:
L'utente finale inizia a utilizzare un'applicazione che desidera accedere ai dati dell'account Google. Quindi l'utente finale viene reindirizzato su google per approvare la richiesta. Una volta che ha approvato la richiesta, Google invia il token di accesso all'applicazione di terze parti. Ora l'applicazione di terze parti può ottenere i dati google degli utenti finali. Tuttavia, dopo 5 minuti di utilizzo di questa applicazione, l'utente cambia idea su di esso e decide che questa applicazione è sospetta, non affidabile o semplicemente non gli piace. Quindi va su account google, in particolare qui: link
E può revocare il token di accesso per quella applicazione. Ciò significa che questo token è appena stato invalidato o eliminato dal database di google e l'applicazione non sarà più in grado di ottenere i dati dell'account google dell'utente finale.
Non è necessario vedere un codice specifico per fare ciò. Se sei un fornitore OAuth, hai sicuramente una tabella DB con token associati a un particolare ID utente.
token <-> user_id
Quindi fai una semplice pagina, che segue quanto segue quando l'utente la visita:
Vede quale ID utente sta visitando la pagina e seleziona tutti i token per quell'utente dal database e visualizza un semplice link - revoca il token accanto a ciascun token. Dopo che l'utente ha fatto clic su revoca token, è sufficiente eliminarlo:)
Non è affatto una scienza missilistica ed è una buona opzione.
Leggi altre domande sui tag authentication oauth federation