2
ouath2 인증으로 API를 보호하는 서버가 있습니다.삭제 된 계정의 유효한 토큰에서 oauth2 api를 보호하는 방법
시나리오 :
- 사용자 토큰 (암호 흐름)를 요청합니다.
- 사용자가 계정을 삭제하거나 \ 삭제합니다.
- 토큰이 유효합니다. 토큰을 무효화 할 수는 있지만 사용자가 두 개의 다른 클라이언트 (브라우저 \ 모바일) 또는 두 개의 다른 브라우저에서 토큰을 생성하는 경우가 있습니다. 두 개의 유효한 토큰을 받음 -> 무효화 불가능 그래서 다른 하나는 여전히 유효합니다).
더 이상 소유자가 아닌 유효한 토큰에서 API를 보호해야합니까?
- 계좌 비활성화/삭제 중 사용자와 관련된 모든 토큰을 무효화해야합니까? 데이터베이스에 모든 사용자의 토큰을 저장하는 것이 좋은지 확실하지 않습니다.
- 토큰 확인 후 모든 작업에 대해 사용자가 계속 활성 상태인지 확인해야합니까? 그러한 최종 사례에 대한 큰 오버 헤드.
* 모든 사용자의 관련 데이터도 삭제되는 경우에는 문제가되지 않지만 API의 응답은 비어 있지만이 데이터가 삭제되지 않는 경우가 있습니다.
감사합니다.