삭제 된 계정의 유효한 토큰에서 oauth2 api를 보호하는 방법

Question

ouath2 인증으로 API를 보호하는 서버가 있습니다.

시나리오 :

1. 사용자 토큰 (암호 흐름)를 요청합니다.
2. 사용자가 계정을 삭제하거나 \ 삭제합니다.
3. 토큰이 유효합니다. 토큰을 무효화 할 수는 있지만 사용자가 두 개의 다른 클라이언트 (브라우저 \ 모바일) 또는 두 개의 다른 브라우저에서 토큰을 생성하는 경우가 있습니다. 두 개의 유효한 토큰을 받음 -> 무효화 불가능 그래서 다른 하나는 여전히 유효합니다).

더 이상 소유자가 아닌 유효한 토큰에서 API를 보호해야합니까?

1. 계좌 비활성화/삭제 중 사용자와 관련된 모든 토큰을 무효화해야합니까? 데이터베이스에 모든 사용자의 토큰을 저장하는 것이 좋은지 확실하지 않습니다.
2. 토큰 확인 후 모든 작업에 대해 사용자가 계속 활성 상태인지 확인해야합니까? 그러한 최종 사례에 대한 큰 오버 헤드.

* 모든 사용자의 관련 데이터도 삭제되는 경우에는 문제가되지 않지만 API의 응답은 비어 있지만이 데이터가 삭제되지 않는 경우가 있습니다.

감사합니다.

Answer 1

액세스 토큰의 수명을 단축하고 새로 고치기 토큰과 함께 사용할 수 있습니다. 귀하의 정보는 액세스 토큰의 수명만큼이나 오래 될 것이므로 클라이언트가 승인 서버로 돌아가서 새로운 액세스 토큰을 얻어야하는 비용으로 허용되는 것으로 생각하는 값으로 설정하십시오 (여기는 삭제 된 계정 확인이 수행됩니다). 참조 : Why Does OAuth v2 Have Both Access and Refresh Tokens?.