Es bueno tener una opción para los usuarios finales, aunque el protocolo no establece esta posibilidad. Imagina el siguiente escenario:
El usuario final comienza a utilizar una aplicación que desea acceder a los datos de su cuenta de Google. Por lo tanto, el usuario final se redirige a google para aprobar la solicitud. Una vez que aprueba la solicitud, Google emite el token de acceso a la aplicación de terceros. Ahora la aplicación de terceros puede obtener los datos de Google de los usuarios finales. Sin embargo, después de 5 minutos de usar esta aplicación, el usuario cambia de opinión al respecto y decide que esta aplicación es sospechosa, no confiable o simplemente no le gusta. Entonces él va a las cuentas de google, más específicamente aquí:
enlace
Y él puede revocar el token de acceso para esa aplicación. Eso significa que este token solo se invalida o elimina de la base de datos de Google, y la aplicación ya no podrá obtener los datos de la cuenta de Google del usuario final.
No necesitas ver un código específico para hacer esto. Si eres un proveedor de OAuth, seguramente tienes una tabla de base de datos con tokens que están asociados con un ID de usuario en particular.
token <-> user_id
Luego crea una página simple, que hace lo siguiente cuando su usuario la visita:
Ve qué ID de usuario está visitando la página y selecciona todos los tokens para ese usuario de la base de datos y muestra un enlace simple: revocar token junto a cada token. Después de que el usuario haga clic en revocar token, simplemente elimínelo :)
No es ciencia espacial en absoluto y es una buena opción para tener.