如何撤销从隐式授权获得的访问令牌?
API POST https://localhost:9443/oauth2/revoke 要求身份验证标头同时包含 client_id/client_secret https://docs.wso2.com/display/IS520/OAuth2+Token+Revocation
但是对于使用隐式授权登录的客户端,他们没有 client_secret,他们应该能够 撤销 accessToken
是否有另一种方法可以从 WSO2IS 中的隐式撤销访问令牌
问候,
【问题讨论】:
我通过查看源代码使其工作正常。 您不能在基本身份验证中传递空的客户端密码,但如果您只将 client_id 作为 url 参数,则可以将客户端密码留空... 绝对应该在文档中
【讨论】:
您可以使用以下 cURL 撤销 OAuth2 隐式访问令牌。
CLIENT_ID:客户端密钥
curl -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" -d "token=ACCESS_TOKEN_TO_BE_REVOKED&token_type_hint=access_token&client_id= CLIENT_ID" http://localhost:8243/revoke
【讨论】:
根据this,如果OAuth 应用只有Implicit 授权类型,您可以发送没有客户端密码的撤销请求。
【讨论】: