OAuth2 Token Introspection与撤销治理

--- title: OAuth2 Token Introspection与撤销治理 keywords: - Token Introspection - 撤销 - RFC 7662 - revocation - 撤销列表 description: 实现 RFC 7662 的令牌查询与撤销流程，在资源服务器侧进行有效性与权限核验，保障安全与及时失效。 categories: - 文章资讯 - 技术教程 --- # OAuth2 Token Introspection与撤销治理 ## 概览 - Introspection 提供令牌的有效性与声明查询；撤销使令牌即时失效并在下游生效。 - 适用于长寿命令牌与高安全接口的动态校验。 ## 技术参数（已验证） - Introspection 端点：`POST /introspect` 返回 `active` 与声明；资源服务器根据结果与策略决定授权。 - 撤销：`POST /revoke` 使令牌失效；维护撤销列表与缓存；对下游进行同步或查询。 - 缓存：在资源服务器对活跃结果短缓存；结合撤销事件刷新与失效。 - 安全：端点需鉴权与范围控制；避免泄漏令牌信息。 - 兼容：与 JWKS 校验协同；在混合模式下使用静态校验 + 动态查询。 ## 实战清单 - 为高风险接口启用 Introspection；在撤销时广播事件与刷新缓存。 - 记录查询与撤销事件；建立告警与审计。 - 维持统一的令牌生命周期与策略；与客户端配合滚动更新。