我正在开发一个android移动客户端,并使用oauth2向用c#编写的服务器进行签名。一切正常,直到服务器重新启动。
我正在崩溃对服务器的每一个调用。。起初我认为我的访问令牌不再有效。但在我决定拥有自己的本地服务器后,我发现我的调用确实到达了服务器,并且由于服务器团队开发的一些令牌和用户数据的静态列表,它们在服务器内部崩溃,显然在重新启动服务器后会被清除。
我已经告诉他们重新创建他们的数据和访问令牌列表,但我在那里运气不好。。
我的问题是,我不太擅长服务器端和oauth2的开发,但我很确定有一个解决方案可以满足我的需求。我试着找了几个小时都没有成功。我的想法是-让服务器拒绝以前运行服务器时的所有旧访问令牌-我会在我的客户端中获得未经授权的代码(现在我在服务器中崩溃了,我不知道为什么以及如何在我的应用程序中做出反应)类似于-每次服务器重新启动时,它都会有一个随机种子,并用这个种子创建访问令牌。
有这样的东西吗?或者为懒惰的服务器端团队提供其他"工作量不大"的解决方案:)?
向您颁发OAuth令牌的服务也是需要吊销令牌的服务。令牌中没有任何内容可以更改以使其无效,也不会损坏它。
如果您的服务器因发送未知/无效令牌而崩溃,则这是一个严重的问题。任何人都要做(应该做)的第一步是验证令牌。显然他们不是。安全需要注意细节,而由于令牌导致的服务器崩溃是一个安全问题(拒绝服务)。