我在我的一个项目中使用Microsoft ADAL库。我正在使用库方法 acquireTokenWithResource:clientId:redirectUri:completionBlock :用于登录目的,退出时我只是清除令牌缓存和所有其他cookie。一切都按预期工作。但似乎令牌在退出时没有过期,因为我在Postman中使用相同的令牌进行了检查。
那么我如何通知微软用户已退出? 注销时是否需要调用任何API?
答案 0 :(得分:1)
access_token的生命周期独立于授予客户端访问权限的用户的登录会话。甚至用户注销,访问令牌在其生命周期内仍然可用。
AFAIK,azure广告没有提供撤销访问令牌的有效方法,您可以config the appropriate lifetime of access token来降低风险。它的有效期相对较短(默认为1小时),一旦到期,必须使用刷新令牌刷新。
有关Azure AD的任何反馈,您都可以发布到here。