令牌吊销
撤销终结点根据客户端请求使访问和刷新令牌无效。它们通常是授权端点的一部分。
# Initial setup
from your_validator import your_validator
server = WebApplicationServer(your_validator)
# Token revocation
uri = 'https://example.com/revoke_token'
headers, body, http_method = {}, 'token=sldafh309sdf', 'POST'
headers, body, status = server.create_revocation_response(uri,
headers=headers, body=body, http_method=http_method)
from your_framework import http_response
http_response(body, status=status, headers=headers)
- class oauthlib.oauth2.RevocationEndpoint(request_validator, supported_token_types=None, enable_jsonp=False)[源代码]
令牌吊销终结点。
经过身份验证的客户端用来吊销访问和刷新令牌的端点。通常,这将是授权终端的一部分。
- create_revocation_response(uri, http_method='POST', body=None, headers=None)[源代码]
吊销提供的访问或刷新令牌。
如果令牌已被成功撤销或如果客户端提交了无效令牌,则授权服务器使用HTTP状态代码200进行响应。
注意:无效令牌不会导致错误响应,因为客户端无法以合理的方式处理此类错误。此外,已经实现了撤销请求的目的,即使特定令牌无效。
客户端忽略响应正文的内容,因为所有必要的信息都在响应代码中传递。
授权服务器会忽略无效的令牌类型提示值,并且不会影响吊销响应。
- validate_revocation_request(request)[源代码]
确保请求有效。
客户端通过在HTTP请求实体-Body中包含以下参数来构造请求,该参数使用“app/x-www-form-urlencode”格式:
令牌(必填)。客户端希望被撤销的令牌。
TOKEN_TYPE_HINT(可选)。有关提交用于吊销的令牌类型的提示。客户端可以传递此参数,以帮助授权服务器优化令牌查找。如果服务器无法使用给定提示定位令牌,则它必须将搜索扩展到其支持的所有令牌类型。授权服务器可以忽略该参数,特别是在它能够自动检测令牌类型的情况下。本规范定义了两个这样的值:
- Access_Token:中定义的访问令牌 [RFC6749] ,
- REFRESH_TOKEN:中定义的刷新令牌 [RFC6749] ,
本规范的特定实现、配置文件和扩展可以使用在 Section 4.1.2 。
客户端还包括其身份验证凭据,如中所述 Section 2.3 。的 [RFC6749] 。