Token Revocation

ยกเลิก token (access token หรือ refresh token) ตามมาตรฐาน RFC 7009

Endpoint นี้ส่ง response ตรงตามมาตรฐาน RFC 7009 โดยไม่ wrap ใน {code, payload}

Endpoint


POST /oauth2/v1/revoke
Content-Type: application/json
Authorization: Basic base64(client_id:client_secret)

Request Headers

Header	Required	Description
`Authorization`	✅	`Basic base64(client_id:client_secret)`
`Content-Type`	✅	`application/json`

Request Parameters

Parameter	Type	Required	Description
`token`	string	✅	Token ที่ต้องการ revoke (access_token หรือ refresh_token)
`token_type_hint`	string	⬜	ชนิดของ token

Response Format

Success Response (HTTP 200)

{}

ตามมาตรฐาน RFC 7009: ระบบจะส่ง HTTP 200 พร้อม {} เสมอ แม้ว่า token จะไม่ valid หรือหมดอายุแล้วก็ตาม

Error Response — Authentication Failed (HTTP 401)


HTTP/1.1 401 Unauthorized

Code Examples

cURL


curl -X POST https://auth.humansoft.co.th/oauth2/v1/revoke \
  -H "Content-Type: application/json" \
  -H "Authorization: Basic bXktYXBwOkNMSUVOVF9TRUNSRVQ=" \
  -d '{"token": "TOKEN_TO_REVOKE"}'

JavaScript


const clientId = 'my-app'
const clientSecret = 'CLIENT_SECRET'
const credentials = btoa(`${clientId}:${clientSecret}`)
 
const response = await fetch('https://auth.humansoft.co.th/oauth2/v1/revoke', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
    'Authorization': `Basic ${credentials}`,
  },
  body: JSON.stringify({
    token: 'TOKEN_TO_REVOKE',
  }),
})
 
if (response.ok) {
  console.log('Token revoked successfully')
}

Python


import requests
from requests.auth import HTTPBasicAuth
 
url = "https://auth.humansoft.co.th/oauth2/v1/revoke"
data = {
    "token": "TOKEN_TO_REVOKE"
}
 
response = requests.post(
    url,
    json=data,
    auth=HTTPBasicAuth("my-app", "CLIENT_SECRET")
)
 
if response.ok:
    print("Token revoked successfully")

PHP


<?php
$url = "https://auth.humansoft.co.th/oauth2/v1/revoke";
$clientId = "my-app";
$clientSecret = "CLIENT_SECRET";
$credentials = base64_encode("{$clientId}:{$clientSecret}");
 
$data = json_encode([
    "token" => "TOKEN_TO_REVOKE"
]);
 
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
curl_setopt($ch, CURLOPT_HTTPHEADER, [
    "Content-Type: application/json",
    "Authorization: Basic {$credentials}"
]);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
 
$response = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
 
if ($httpCode === 200) {
    echo "Token revoked successfully";
}
curl_close($ch);
?>

Notes

การ revoke refresh token จะยกเลิก sessions ที่เกี่ยวข้องกับ user สำหรับ client นั้นด้วย
แม้ token จะไม่ valid ระบบก็จะส่ง HTTP 200 กลับมาเสมอ (ตามมาตรฐาน RFC 7009)

Token Endpoint - ขอ token ใหม่
Token Introspection - ตรวจสอบ token