从0开始构建一个Oauth2Server服务 10 Del application and revoke secret

从0开始构建一个Oauth2Server服务 10

删除应用程序和撤销Secrets

开发人员将需要一种方法来删除（或至少停用）他们的应用程序。为开发人员提供一种方法来为他们的应用程序撤销和生成新的客户端密码也是一个好主意。

删除应用程序

当开发者删除应用时，服务应告知开发者删除应用的后果。例如，GitHub 告诉开发者所有的 access token 都将被撤销，以及有多少用户会受到影响。

删除应用程序应立即撤销所有访问令牌和颁发给该应用程序的其他凭证，例如待处理的授权代码和刷新令牌。

撤销Secrets

该服务应为开发人员提供一种重置客户端密码的方法。在秘密被意外暴露的情况下，开发人员需要一种方法来确保可以撤销旧秘密。撤销秘密并不一定会使用户的访问令牌无效，因为如果开发人员还想使所有用户令牌无效，他们总是可以删除应用程序。

重置秘密应该使所有现有的访问令牌保持活动状态。然而，这确实意味着任何使用旧密钥的已部署应用程序将无法使用旧密钥刷新访问令牌。已部署的应用程序需要先更新其机密，然后才能使用刷新令牌。