在Oauth或Openid Connect中,假设攻击者获得了访问或刷新 token ,并且清除了浏览器或应用程序的缓存。如果用户的字符串不明确,用户是否可以撤消身份提供者发出的访问或刷新 token ?
最佳答案
如果您的 token 提供者至少是OAuth 2.0提供者,则必须实现OAuth 2.0 Token Revocation。
该URL应该由OpenID Connect-Provider在/.well-known/openid-configuration中作为“revocation_endpoint”传递。