Как отозвать доступ пользователей к приложениям с помощью OpenId Connect с неявным потоком?

Question

Я предполагаю, что это стандартный сценарий, но я не нашел хороших ответов.Если пользователь отключен администратором приложения, как его доступ к приложению может быть немедленно отменен?Он по-прежнему будет иметь действительные токены, по крайней мере, до истечения срока их действия.

Будет ли решение проверять API-интерфейс при каждом запросе, если пользователь активен, и, возможно, кэшировать результат?Или есть что-то еще, что стандарт предлагает в таком сценарии?

Мы используем: Angular6 + ASP.NET Core 2 + Identity Server 4.

С уважением.

Answer 1

Вам нужно использовать reference tokens и introspection, которые в основном достигают того, что вы описывали - api вызывает поставщика полномочий и обменивает эталонные токены на токены доступа, поэтому отзыв администратора администратором централизованного управления вступает в силу немедленно.

Прежде чем приступить к такому подходу, убедитесь, что вы понимаете все плюсы и минусы, поскольку в общем случае немедленное аннулирование прав не требуется, и это в некоторой степени достигается с помощью краткосрочных токенов доступа.