如果用户想要从我们的服务中移除他/她自己,我们会从我们的数据库中删除他们的所有数据,包括Oauth令牌.我们拥有的Oauth令牌是安全和持久的.作为最佳做法的一部分,我们希望将令牌完全无效,就好像他们想要使用Google帐户页面并将其删除一样.阅读Oauth文档我不清楚这是否可能,因为所有的例子都涉及单会话或非安全案例(并且原谅我缺乏"你尝试了什么?" - ism但我正在尝试快速计划如何做到这一点).
所以
1)这可能吗?最好是1.0?
2)怎么做?
是的,您可以通过编程方式撤消令牌,就好像用户在其帐户设置页面中撤消了访问权限一样.
对于AuthSub和OAuth 1.0,通过向OAuth签名的请求执行以下操作来使用AuthSubRevoke令牌端点:
https://www.google.com/accounts/AuthSubRevokeToken
对于OAuth 2.0,请使用吊销端点,如:
https://accounts.google.com/o/oauth2/revoke?token={refresh_token}