[17.0.0.3 and later]

Appel du noeud final de révocation pour OpenID Connect

Le noeud final de révocation permet aux détenteurs de jetons d'accès ou de jetons d'actualisation de prévenir le fournisseur OpenID Connect qu'un jeton qui a été émis devenu inutile doit être révoqué. Le noeud final de révocation peut révoquer un jeton qui a été obtenue via une authentification OAuth ou OpenID Connect.

Pour toute information sur la révocation de jeton OAuth 2.0, reportez-vous à l'article https://tools.ietf.org/html/rfc7009.

Avant de commencer

Avant de pouvoir appeler le noeud final de révocation, une application client doit d'abord s'enregistrer en tant que client OAuth 2.0 normal sur le serveur OpenID Connect.

Pourquoi et quand exécuter cette tâche

Le noeud final de révocation accepte une demande du client qui inclut un jeton d'accès ou d'actualisation. Si le jeton est valide dans OpenID Connect Server, il est invalidé. S'il s'agit d'un jeton d'actualisation, tous les jetons d'accès qui lui sont associés sont également invalidés.

Un serveur Liberty avec OpenID Connect activé peut accéder au noeud final de jeton OpenID Connect à l'URL suivante :

https://server.example.com:443/oidc/endpoint/provider_name/revoke

Cet exemple d'URL part du principe que le port SSL du fournisseur OpenID Connect est 443.

Procédure

  1. Définissez l'authentification client avec l'ID et le mot de passe client d'un client OpenID Connect enregistré dans l'en-tête HTTP Basic Authorization d'une demande POST. Codez l'ID et le mot de passe du client à l'aide de l'algorithme de codage application/x-www-form-urlencoded. L'ID du client codé est utilisé comme nom d'utilisateur et le mot de passe codé est utilisé comme mot de passe.
  2. Incluez la valeur de chaîne pour le jeton d'accès en tant que paramètre token dans la demande POST sur le noeud final de révocation.
  3. Envoyez la demande POST à l'URL du noeud final de révocation.

Exemple

L'exemple suivant illustre une demande HTTP qui est envoyée au noeud final de révocation :

POST /revoke HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW

token=45ghiukldjahdnhzdauz&token_type_hint=access_token

Le serveur d'autorisations répond avec le code d'état HTTP 200 si le jeton a été révoqué ou si le client a soumis un jeton non valide.


Icône indiquant le type de rubrique Rubrique Tâche

Nom du fichier : twlp_oidc_revoke.html