Questa pagina è stata tradotta dall'API Cloud Translation.

Revoca i token di accesso OAuth 2.0 in base all'ID utente finale, all'ID app o a entrambi

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Puoi revocare i token di accesso OAuth 2.0 per ID utente finale, ID app o entrambi utilizzando il criterio RevokeOAuthV2. Per utente finale si intende l'utente dell'app che chiama l'API.

Quando memorizzare l'ID utente in un token di accesso

Per impostazione predefinita, gli ID utente non sono inclusi nei token di accesso. A volte è utile memorizzare l'ID utente in un token di accesso. Ad esempio:

Una funzionalità per il tuo sito web o la tua app in cui gli utenti possono vedere quali app di terze parti hanno autorizzato e per fornire un'opzione per revocare l'accesso a queste app.
Una funzionalità che consente a un utente autorizzato di revocare tutti i token di accesso associati a un'app per sviluppatori specifica.

Informazioni sui token di accesso OAuth

Per impostazione predefinita, quando Apigee genera un token di accesso OAuth 2.0, il token ha il formato mostrato di seguito:

{
 "issued_at" : "1421847736581",
 "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
 "scope" : "READ",
 "status" : "approved",
 "api_product_list" : "[PremiumWeatherAPI]",
 "expires_in" : "3599", //--in seconds
 "developer.email" : "tesla@weathersample.com",
 "organization_id" : "0",
 "token_type" : "BearerToken",
 "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
 "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
 "organization_name" : "myorg",
 "refresh_token_expires_in" : "0", //--in seconds
 "refresh_count" : "0"
}

Tieni presente quanto segue:

Il campo application_name contiene l'UUID dell'app associata al token. Se abiliti la revoca dei token di accesso OAuth 2.0 per ID app, questo è l'ID app che utilizzi.
Il campo access_token contiene il valore del token di accesso OAuth 2.0.
Non esiste alcun campo per l'ID utente finale nel token di accesso OAuth predefinito.

Per revocare i token di accesso OAuth 2.0 in base all'ID utente finale, devi configurare il criterio OAuth 2.0 in modo da includere l'ID utente nel token. Dopo aver configurato il criterio in modo da includere l'ID utente finale nel token, questo viene incluso come campo app_enduser, come mostrato di seguito:

{
 "issued_at" : "1421847736581",
 "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
 "scope" : "READ",
 "app_enduser" : "6ZG094fgnjNf02EK",
 "status" : "approved",
 "api_product_list" : "[PremiumWeatherAPI]",
 "expires_in" : "3599", //--in seconds
 "developer.email" : "tesla@weathersample.com",
 "organization_id" : "0",
 "token_type" : "BearerToken",
 "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
 "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
 "organization_name" : "myorg",
 "refresh_token_expires_in" : "0", //--in seconds
 "refresh_count" : "0"
}

Configurazione dei criteri

Per revocare i token in base all'ID utente, devi prima configurare il criterio OAuth 2.0 per aggiungere l'ID utente al token di accesso. Se includi gli ID utente finale nei token di accesso, potrai revocare i token in base all'ID utente finale.

Per configurare il criterio in modo da includere un ID utente finale in un token di accesso, devi specificare la variabile di input che contiene l'ID utente finale. Utilizza il tag <AppEndUser> per specificare la variabile:

<OAuthV2 async="false" continueOnError="false" enabled="true" name="GenerateAccessTokenClient">
  <DisplayName>OAuth 2.0.0 1</DisplayName>
  <ExternalAuthorization>false</ExternalAuthorization>
  <Operation>GenerateAccessToken</Operation>
  <SupportedGrantTypes>
    <GrantType>client_credentials</GrantType>
  </SupportedGrantTypes>
  <GenerateResponse enabled="true"/>
  <GrantType>request.queryparam.grant_type</GrantType>
  <AppEndUser>request.header.appuserID</AppEndUser>
  <ExpiresIn>960000</ExpiresIn>
</OAuthV2>

Ecco un esempio di criterio RevokeOAuthV2 configurato per revocare l'accesso entro EndUserId:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<RevokeOAuthV2 continueOnError="false" enabled="true" name="GetOAuthV2Info-1">
    <DisplayName>Get OAuth v2.0 Info 1</DisplayName>
    <EndUserId ref="request.header.appuserID"></EndUserId>
    <Cascade>false</Cascade>
</RevokeOAuthV2>

Vedi anche Revoca dei criteri OAuth v2.

Il seguente comando di esempio genera un token e trasmette l'ID utente nell'intestazione appuserID:

curl -H "appuserID:6ZG094fgnjNf02EK" \
-H "Content-Type: application/x-www-form-urlencoded" \
  -H "Authorization: Basic c3FIOG9vSGV4VHo4QzAyg5T1JvNnJoZ3ExaVNyQWw6WjRsanRKZG5lQk9qUE1BVQ" \
  -X POST "https://apitest.acme.com/oauth/token" \
  -d "grant_type=client_credentials"

Puoi trasmettere informazioni come parte di una richiesta in altri modi. Ad esempio, in alternativa, puoi:

Utilizza una variabile di parametro del modulo: request.formparam.appuserID
Utilizza una variabile di flusso che fornisca l'ID utente finale

Revoca i token di accesso OAuth 2.0 in base all'ID utente finale, all'ID app o a entrambi Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Quando memorizzare l'ID utente in un token di accesso

Informazioni sui token di accesso OAuth

Configurazione dei criteri

Revoca i token di accesso OAuth 2.0 in base all'ID utente finale, all'ID app o a entrambi