我不知道在以下情况下是否有撤销刷新令牌的解决方案: - 用户使用重置密码策略重置自己的密码? - 用户使用基于Graph API的特定表单更改自己的密码?
我认为必须出于安全原因而实施,但我现在不可能,如果没有,它什么时候可用?
提前致谢
答案 0 :(得分:3)
我在您的问题Costs of B2C and Refresh tokens中发现了类似的问题。
另一个问题答案的基本部分是:
注销Web应用程序不会撤消令牌。 Azure AD目前不支持撤消令牌。但是,如果您不希望用户使用令牌,我们可以清除令牌缓存。
我使用Azure AD Graph API进行了一些自己的测试,即使重置访问资源的用户的密码,也无法使刷新令牌过期。
据我所知,目前似乎没有任何方法可以使令牌过期,除非联系Azure支持并让令牌过期。