![[17.0.0.3 and later]](../ng_v17003plus.gif)
调用 OpenID Connect 的撤销端点
撤销端点允许访问令牌或刷新令牌的持有者通知 OpenID Connect
提供者,指出不再需要并且必须撤销已发出的令牌。撤销端点可以撤销通过 OpenID Connect 或 OAuth 认证获取的令牌。
有关 OAuth 2.0 令牌撤销的信息,请参阅 https://tools.ietf.org/html/rfc7009。
开始之前
客户机应用程序必须先向 OpenID Connect 服务器注册为普通 OAuth 2.0 客户机,然后才能调用撤销端点。
关于此任务
撤销端点接受客户机的请求,该请求包含访问令牌或刷新令牌。如果该令牌在 OpenID Connect 服务器中有效,那么它会失效。如果是刷新令牌,那么与其相关联的所有访问令牌也会失效。
已启用 OpenID Connect 的 Liberty 服务器可访问 OpenID Connect 令牌端点,其 URL 如下所示:
https://server.example.com:443/oidc/endpoint/provider_name/revoke
这个 URL 示例假定 OpenID Connect 提供者的 SSL 端口为 443。
过程
- 在 POST 请求的 HTTP 基本授权标头中,使用已注册 OpenID Connect 客户机的客户机标识和密码设置客户机认证。请使用 application/x-www-form-urlencoded 编码算法来编码客户机标识和密码。编码后的客户机标识用作用户名,编码后的密码用作密码。
- 在针对撤销端点的 POST 请求中,包括访问令牌的字符串值作为 token 参数。
- 将该 POST 请求发送至撤销端点 URL。
示例
以下示例显示发送至撤销端点的 HTTP 请求:
POST /revoke HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
token=45ghiukldjahdnhzdauz&token_type_hint=access_token
如果撤销该令牌成功,或者客户机提交的令牌无效,那么授权服务器将以 HTTP 状态码 200 进行响应。