Когда учетные данные (идентификатор и пароль), управляемые IdP, были изменены, следует ли выдавать токен доступа, сохраненный в RP, заново?

Question

Я говорил о спецификации, когда учетные данные были изменены потоком кода авторизации OpenIdConnect или OAuth2.

Когда учетные данные (идентификатор и пароль), управляемые IdP, были изменены, токен доступа сохранялся в RPотбрасывается, и снова требуется аутентификация пользователя?Или он должен использовать токен доступа, каким он был до изменения?

Answer 1

Жизненный цикл токена доступа не связан со статусом учетной записи пользователя.

Токен доступа все еще может быть действительным, если изменились учетные данные владельца ресурса или даже если его учетная запись была заблокирована.

Обычно токен доступа отзывается самим клиентом (конечная точка отзыва) или эмитентом (политика безопасности / взломанный токен).