问题描述
我们有自己的基于 openid 和 Oauth2 的授权服务器。我们有一个用例,我们希望控制发出的访问令牌在一次使用后过期。此用例特定于用户帐户。例如,user1@client1 应该获得一个访问令牌,该令牌应在单次使用后过期,而 user2@client1 应使用默认过期时间,其中令牌将在 x 秒后过期但可以多次使用。
谢谢 兰吉斯
解决方法
oauth2 或 openid-connect 中没有内置支持一次性使用,我认为下一代 Oauth 会处理。
但现在我猜你唯一的选择是在接收令牌的 API 中实现逻辑。访问令牌具有特定的生命周期。
另一种选择是使用引用令牌,然后 API 需要在每个请求上询问令牌提供者。但每次使用后仍需取消。