Concessione password proprietario risorsa OAuth 2.0 - Gestione del token di accesso al momento della disconnessione

Naviga le tue risposte
1

Sono nuovo di OAuth 2.0. Ho usato il server PHP OAuth di BShaffer sulla concessione del codice di autorizzazione e comprendo che l'applicazione client può avere il suo token OAuth separato dall'autenticazione della sessione, ovvero, se un utente si disconnette, il token di accesso non viene revocato e il token di aggiornamento è usato per ottenere un nuovo token di accesso alla scadenza.

Sto costruendo un'applicazione attendibile utilizzando un'API con Concessione utente OAuth Credential (o Resource Owner). Le mie domande sono:

  1. Poiché sono in Conoscenza delle credenziali utente OAuth, OAuth dovrebbe contenere tutte le credenziali dell'utente e solo il livello di autenticazione dell'utente (che si comporta come un livello SSO)?
  2. Con ciò, posso usare un token OAuth come token di sessione?
  3. Al momento della disconnessione dall'applicazione client, dovrei revocare il token OAuth?
posta Earl Lapura 26.04.2016 - 03:35
fonte

1 risposta

0
  1. Non capisco cosa intendi con Oauth che detiene le credenziali dell'utente. Questo non dovrebbe accadere. Le credenziali dell'utente dovrebbero fluire solo tra l'utente e il server di autorizzazione.
  2. Sì.
  3. Sì. Penso che sia il comportamento previsto.
risposta data 13.10.2018 - 13:29
fonte

Leggi altre domande sui tag

Crea un file firmato dalla firma scollegata e il contenuto del file di testo libero È possibile emettere un certificato con attributi diversi rispetto a .csr?