我假设这是一个标准的场景,但我没有找到任何好的答案。如果应用程序管理员禁用了用户,他如何立即撤销对应用程序的访问权限?至少在他们到期之前,他仍然会有有效的代币。
如果用户处于活动状态并且可能缓存结果,解决方案是在每个请求上检查API吗?或者在这种情况下标准提出了什么?
我们正在使用:Angular6 + ASP.NET Core 2 + Identity Server 4。
问候。
您需要使用reference tokens
和introspection
,它基本上实现了您所描述的内容 - api调用权限提供者并交换访问令牌的引用令牌,因此管理员对中央权限的撤销立即生效。
在开始采用这种方法之前,请确保您了解利弊,因为通常不需要立即撤销权利,而这在某种程度上是通过短期访问令牌实现的。