Если oauth не имеет состояния, как Google может уничтожить токен oauth?

Question

Я знаю, как работает oauth, после успешной аутентификации вы делаете запросы с этими токенами jwt.

Но проблема в том, как я могу отследить, сколько существует активных токенов или уничтожить токены до истечения срока их действия. Предположим, Google или GitHub, когда вы аутентифицируетесь с помощью oauth, и они дают вам токен доступа, вы также можете отслеживать или уничтожать токены на их панели инструментов. Так как они знают, что мой токен больше не действителен. Единственный способ, которым я, хотя, является то, что они также устанавливают sh сеанс, когда токен доступа предоставлен.

Но проблема в том, что они должны проверить, что сеанс все еще действителен или существует при каждом запросе. Если они проверяют это при каждом запросе, где находится точка без гражданства?

Answer 1

Это без сохранения состояния, и нет сеансов. Реализация OAuth, которая хочет отзывать токены, использует списки отзыва токенов, доступные всем конечным точкам.