В то же время доступно только 1 токен доступа из 1 учетной записи пользователя - веб-API (OAuth2)

Question

Я использую Oauth2 для защиты моего веб-API. Моя проблема:

Пользователь «A» с учетной записью «A» имеет доступ к токену доступа «A». Пользовательский логин «B» с учетной записью «A», маркер доступа «B» предоставляется. Затем оба токена доступа «A», «B» могут получить доступ к моим ресурсам (та же учетная запись «A»).

Как изменить это поведение, так что, когда пользователь «B» входит в систему, предоставляется токен доступа B, и токен доступа «A» истек.

спасибо.

Answer 1

Поведение --- выдача нового токена доступа делает недействительными существующие токены доступа или нет - зависит от реализации сервера OAuth 2.0. Спецификация OAuth 2.0 (RFC 6749) не налагает никаких ограничений на поведение.

Фактически, определенная реализация сервера OAuth 2.0 обеспечивает функцию, позволяющую администраторам сервера настраивать поведение. См. this answer.

Answer 2

Это не будет легко, если вы не захотите изменить свой веб-API, чтобы перезвонить на сервер авторизации и проверить, отменен ли токен. Также вам нужно будет изменить ваш сервер авторизации для отмены токенов на основе ваших конкретных правил.

Это противоречит текстуре Oauth2.0, поскольку сервер ресурсов (ваш веб-api) не должен выполнять обратные вызовы на сервере auth, если у него есть действительный токен (т.е. подписан правильно, а не истек и с правильными областями).

Я бы предположил, что Oauth2.0 не может быть лучшим решением в этом случае.