令牌吊销

POST /ath/revoke 吊销一个 ATH 访问令牌,使其立即不可用。

请求

{
  "client_id": "ath_travelbot_001",
  "client_secret": "ath_secret_xxxxx",
  "token": "ath_tk_xxxxxxxx"
}

请求字段

字段类型必填描述
client_idstring有条件代理的客户端 ID。当调用方为代理时必填
client_secretstring有条件代理的客户端密钥。当调用方为代理时必填(按照 RFC 7009 要求进行客户端认证)
tokenstring要吊销的 ATH 访问令牌

响应

成功吊销后返回 200 OK

行为

  • 当调用方为代理时:实现者必须(MUST)要求提供 client_idclient_secret,验证其匹配有效的代理注册,并验证 client_id 与令牌绑定的 agent_id 对应。代理只能吊销自己的令牌
  • 当调用方为用户或管理员时:实现者必须(MUST)通过自身机制(例如会话 cookie、管理员 API 密钥)对调用方进行认证。未经认证的吊销请求必须(MUST)被拒绝
  • 令牌在吊销后立即不可用
  • 使用已吊销令牌的后续 API 调用必须(MUST)被拒绝
  • 无论令牌是否有效或存在,吊销端点建议(SHOULD)返回 200 OK(按照 RFC 7009 §2.2,不泄露令牌存在信息)
  • 代理、用户(通过管理界面)或管理员均可吊销令牌
  • 吊销操作建议(SHOULD)记录审计日志