OAuth L'utente revoca il token

3

Non l'ho letto da solo, ma un collega mi ha detto che l'utente finale può revocare il suo token OAuth. Ho cercato ma non ho trovato abbastanza documenti su:

  1. è vero / è l'utente finale a revocare il token?
  2. puoi indicarmi uno strumento / codice / script o anche una discussione su come l'utente finale potrebbe farlo?

grazie!

    
posta Stefany 12.07.2011 - 20:05
fonte

2 risposte

4

Unlike the resource owner credentials, tokens can be issued with a restricted scope and limited lifetime, and revoked independently.

dal link

Suppongo che la RFC abbia anche un esempio, ma l'ho sfogliata interamente. Il sito oauth contiene anche del codice, forse può aiutarti, link

    
risposta data 12.07.2011 - 20:14
fonte
3

È una buona opzione per gli utenti finali, sebbene il protocollo non imponga questa possibilità. Immagina il seguente scenario:

L'utente finale inizia a utilizzare un'applicazione che desidera accedere ai dati dell'account Google. Quindi l'utente finale viene reindirizzato su google per approvare la richiesta. Una volta che ha approvato la richiesta, Google invia il token di accesso all'applicazione di terze parti. Ora l'applicazione di terze parti può ottenere i dati google degli utenti finali. Tuttavia, dopo 5 minuti di utilizzo di questa applicazione, l'utente cambia idea su di esso e decide che questa applicazione è sospetta, non affidabile o semplicemente non gli piace. Quindi va su account google, in particolare qui: link

E può revocare il token di accesso per quella applicazione. Ciò significa che questo token è appena stato invalidato o eliminato dal database di google e l'applicazione non sarà più in grado di ottenere i dati dell'account google dell'utente finale.

Non è necessario vedere un codice specifico per fare ciò. Se sei un fornitore OAuth, hai sicuramente una tabella DB con token associati a un particolare ID utente.

token <-> user_id

Quindi fai una semplice pagina, che segue quanto segue quando l'utente la visita:

Vede quale ID utente sta visitando la pagina e seleziona tutti i token per quell'utente dal database e visualizza un semplice link - revoca il token accanto a ciascun token. Dopo che l'utente ha fatto clic su revoca token, è sufficiente eliminarlo:)

Non è affatto una scienza missilistica ed è una buona opzione.

    
risposta data 13.07.2011 - 09:54
fonte

Leggi altre domande sui tag