[17.0.0.3 以及更新版本]

呼叫 OpenID Connect 的撤銷端點

撤銷端點可讓存取記號或更新記號的持有者,通知 OpenID Connect 提供者,使其得知所簽發的記號不再需要而必須撤銷。撤銷端點可以撤銷透過 OpenID Connect 或 OAuth 鑑別取得的記號。

如需 OAuth 2.0 記號撤銷的相關資訊,請參閱 https://tools.ietf.org/html/rfc7009

開始之前

用戶端應用程式必須先向 OpenID Connect 伺服器登錄成一般的 OAuth 2.0 用戶端,才能呼叫撤銷端點。

關於這項作業

撤銷端點可接受來自用戶端且其中含有存取或更新記號的要求。如果該記號在 OpenID Connect 伺服器中是有效的,就會失效。若為更新記號,則其相關聯的所有存取記號也會失效。

啟用 OpenID Connect 的 Liberty 伺服器能夠存取位於下列 URL 的 OpenID Connect 記號端點:

https://server.example.com:443/oidc/endpoint/provider_name/revoke

此範例 URL 假設 OpenID Connect 提供者的 SSL 埠是 443

程序

  1. 在 POST 要求的 HTTP Basic Authorization 標頭中,以已登錄 OpenID Connect 用戶端的用戶端 ID 和密碼,來設定用戶端鑑別。使用 application/x-www-form-urlencoded 編碼演算法,來編碼用戶端 ID 和密碼。使用已編碼的用戶端 ID 作為使用者名稱,使用已編碼的密碼作為密碼。
  2. 將存取記號的字串值當成 token 參數,包含在撤銷端點的 POST 要求中。
  3. 傳送 POST 要求至撤銷端點 URL。

範例

下列範例顯示傳送至撤銷端點的 HTTP 要求:

POST /revoke HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW

token=45ghiukldjahdnhzdauz&token_type_hint=access_token

如果順利撤銷記號,或者用戶端所提交的記號無效,則授權伺服器會回應 HTTP 狀態碼 200。


指示主題類型的圖示 作業主題

檔名:twlp_oidc_revoke.html