Doorkeeper中过期访问令牌关联的刷新令牌无法撤销问题分析

问题背景

在使用Doorkeeper这个OAuth 2.0提供者gem时，发现了一个关于令牌撤销机制的重要问题。具体表现为：当访问令牌(access token)过期后，系统无法撤销与之配对的刷新令牌(refresh token)。这种设计缺陷可能导致安全隐患，因为刷新令牌理论上没有过期时间，应该随时可以被撤销。

技术细节分析

在OAuth 2.0协议中，刷新令牌是一种长期有效的凭证，用于获取新的访问令牌。而访问令牌通常有较短的有效期。Doorkeeper当前的实现中存在一个逻辑缺陷：当检查令牌是否可撤销时，会同时验证访问令牌和刷新令牌的状态。

具体来说，当调用撤销端点时：

1. 系统会首先尝试查找与提供的令牌匹配的访问令牌
2. 如果找到访问令牌但已过期，则不会继续查找或撤销关联的刷新令牌
3. 这导致刷新令牌即使被提交也无法被撤销

问题影响

这种实现方式带来了几个潜在问题：

1. 安全隐患：攻击者可能获取到已过期的访问令牌及其关联的刷新令牌，虽然访问令牌已失效，但刷新令牌仍然可用
2. 用户体验问题：用户无法主动撤销已过期会话的刷新令牌，降低了账户安全性
3. 不符合OAuth规范：OAuth 2.0规范没有限制刷新令牌的撤销条件

解决方案思路

正确的实现应该：

1. 独立处理访问令牌和刷新令牌的撤销逻辑
2. 即使访问令牌已过期，也应允许撤销其关联的刷新令牌
3. 保持刷新令牌的撤销不受访问令牌状态影响

在技术实现上，需要修改令牌查找和验证逻辑，确保刷新令牌在任何情况下都可以被正确识别和撤销。

最佳实践建议

基于这个问题，对于使用Doorkeeper的开发者，建议：

1. 定期审计系统中的刷新令牌
2. 实现额外的令牌撤销策略，如基于时间的自动撤销
3. 考虑实现令牌的客户端管理界面，让用户可以查看和撤销所有活动令牌

这个问题提醒我们，在实现OAuth相关功能时，需要仔细考虑各种边界情况和安全场景，确保系统的行为符合协议规范和安全最佳实践。