2

我正在尝试撤销刷新令牌,以便它不能进一步用于通过 oauth2 获取更多访问令牌。

我正在使用 simple-oauth2 nodejs 库来包装获取访问和刷新令牌的请求。获得这些令牌后,我可以使用访问令牌进行 graph.microsoft.com 调用。当令牌过期时,我可以得到一个新的。这个库有一个 .revoke() 方法,它接受一个撤销 url。我将其指定为http://login.microsoft.com/common/oauth2/v2.0/logout 但刷新令牌仍然有效。

根据https://support.office.com/en-us/article/Session-timeouts-for-Office-365-37a5c116-5b07-4f70-8333-5b86fd2c3c40?ui=en-US&rs=en-US&ad=US 的Azure Active Directory:“管理员可以应用条件访问策略来限制对用户尝试访问的资源的访问。”

是否可以使用 oauth2 请求撤销?我看到这个https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-v2-protocols-oidc 显示了 oauth2 注销 url /common/oauth2/v2.0/logout .

4

1 回答 1

2

Azure Active Directory 不支持也不为应用程序提供用于吊销刷新令牌的终结点。推荐的方法是在注销时清除令牌缓存以防止重新使用令牌。

类似的帖子在这里:Revoke a refresh token on Azure AD B2C

您可以在此处阅读有关刷新令牌令牌生命周期策略的更多信息 https://docs.microsoft.com/en-us/azure/active-directory/active-directory-configurable-token-lifetimes

于 2017-06-21T01:08:51.737 回答