OauthまたはOpenid Connectで、攻撃者に言ってみましょうがアクセスまたはリフレッシュトークンを取得し、ブラウザまたはアプリのキャッシュが消去されます。ユーザーは、文字列が明示的にわからない場合、アイデンティティプロバイダーによって発行されたアクセスまたはリフレッシュトークンを取り消すことができますか?
回答:
回答№1は1トークンプロバイダーが少なくともOAuth 2.0プロバイダーである場合、それを実装する必要があります OAuth 2.0トークンの取り消し.
URLは、OpenID Connect-Providerで/.well-known/openid-configurationの「revocation_endpoint」として配信される必要があります。
回答№2の場合は0
それはでの実装に本当に依存しますIDプロバイダーですが、通常は少なくとも更新トークンを取り消せるはずです。リフレッシュトークンはほとんどの場合、IDPの永続ストレージに保存され、ユーザーはIDPにログインしてクライアント認証とリフレッシュトークンを管理できます。例として、Googleは次の場所でユーザーがそれらを管理できるようにします。 https://security.google.com/settings/security/permissions