[17.0.0.3 und höher]

Widerrufsendpunkt für OpenID Connect aufrufen

Mit einem Widerrufsendpunkt können Inhaber von Zugriffstokens oder Aktualisierungstokens den OpenID Connect Provider benachrichtigen, dass ein ausgegebener Token nicht mehr benötigt wird und widerrufen werden muss. Der Widerrufsendpunkt kann ein Token widerrufen, das über eine OpenID Connect- oder OAuth-Authentifizierung abgerufen wurde.

Weitere Informationen zum Widerruf von OAuth 2.0-Token finden Sie unter https://tools.ietf.org/html/rfc7009.

Vorbereitende Schritte

Bevor eine Clientanwendung den Widerrufsendpunkt aufrufen kann, muss sie sich zunächst als normaler OAuth 2.0-Client beim OpenID Connect-Server registrieren.

Informationen zu diesem Vorgang

Der Widerrufsendpunkt akzeptiert eine Anforderung vom Client, die ein Zugriffs- oder Aktualisierungstoken enthält. Wenn das Token im OpenID Connect-Server gültig ist, wird es ungültig gemacht. Wenn es sich um ein Aktualisierungstoken handelt, werden alle ihm zugeordneten Zugriffstokens ebenfalls ungültig gemacht.

Ein Server mit Liberty mit aktiviertem OpenID Connect hat unter der folgenden URL Zugriff auf den OpenID Connect-Tokenendpunkt:

https://server.example.com:443/oidc/endpoint/Providername/revoke

Bei dieser Beispiel-URL ist der SSL-Port des OpenID Connect-Providers 443.

Vorgehensweise

  1. Konfigurieren Sie die Clientauthentifizierung mit der Client-ID und dem Kennwort für einen registrierten OpenID Connect-Client im HTTP-Basisberechtigungsheader einer POST-Anforderung. Codieren Sie die Client-ID und das Kennwort mit dem Codierungsalgorithmus application/x-www-form-urlencoded. Die codierte Client-ID wird als Benutzername verwendet und das codierte Kennwort als Kennwort.
  2. Geben Sie den Zeichenfolgewert für das Zugriffstoken als token-Parameter in der POST-Anforderung für den Widerrufsendpunkt an.
  3. Übergeben Sie die POST-Anforderung an die Widerrufsendpunkt-URL.

Beispiel

Das folgende Beispiel zeigt eine HTTP-Anforderung, die an den Widerrufsendpunkt übergeben wird:

POST /revoke HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW

token=45ghiukldjahdnhzdauz&token_type_hint=access_token

Der Berechtigungsserver antwortet mit dem HTTP-Statuscode 200, wenn das Token erfolgreich widerrufen wurde oder wenn der Client ein ungültiges Token übergeben hat.


Symbol das den Typ des Artikels anzeigt. Taskartikel

Dateiname: twlp_oidc_revoke.html