OAuth usuario revocar token

3

No lo he leído yo mismo, pero un colega me dijo que el usuario final puede revocar su token de OAuth. Busqué pero no pude encontrar suficientes documentos en:

  1. ¿Esto es cierto / es el usuario final el que revoca el token?
  2. ¿Puede indicarme una herramienta / código / script o incluso una discusión sobre cómo el usuario final podría hacer eso?

gracias!

    
pregunta Stefany 12.07.2011 - 20:05
fuente

2 respuestas

4
  

A diferencia de las credenciales del propietario del recurso,      Los tokens se pueden emitir con un alcance restringido y una duración limitada.      y revocado de forma independiente.

de enlace

Supongo que el RFC también tiene un ejemplo, pero lo exploré por completo. El sitio oauth también incluye algún código, tal vez pueda ayudarlo, enlace

    
respondido por el M'vy 12.07.2011 - 20:14
fuente
3

Es bueno tener una opción para los usuarios finales, aunque el protocolo no establece esta posibilidad. Imagina el siguiente escenario:

El usuario final comienza a utilizar una aplicación que desea acceder a los datos de su cuenta de Google. Por lo tanto, el usuario final se redirige a google para aprobar la solicitud. Una vez que aprueba la solicitud, Google emite el token de acceso a la aplicación de terceros. Ahora la aplicación de terceros puede obtener los datos de Google de los usuarios finales. Sin embargo, después de 5 minutos de usar esta aplicación, el usuario cambia de opinión al respecto y decide que esta aplicación es sospechosa, no confiable o simplemente no le gusta. Entonces él va a las cuentas de google, más específicamente aquí: enlace

Y él puede revocar el token de acceso para esa aplicación. Eso significa que este token solo se invalida o elimina de la base de datos de Google, y la aplicación ya no podrá obtener los datos de la cuenta de Google del usuario final.

No necesitas ver un código específico para hacer esto. Si eres un proveedor de OAuth, seguramente tienes una tabla de base de datos con tokens que están asociados con un ID de usuario en particular.

token <-> user_id

Luego crea una página simple, que hace lo siguiente cuando su usuario la visita:

Ve qué ID de usuario está visitando la página y selecciona todos los tokens para ese usuario de la base de datos y muestra un enlace simple: revocar token junto a cada token. Después de que el usuario haga clic en revocar token, simplemente elimínelo :)

No es ciencia espacial en absoluto y es una buena opción para tener.

    
respondido por el luben 13.07.2011 - 09:54
fuente

Lea otras preguntas en las etiquetas