我正在尝试撤销刷新令牌,以便不再使用它来通过oauth2获取更多访问权限。
我正在使用simple-oauth2 nodejs库来包装请求以获取访问权限和刷新令牌。一旦我拥有这些令牌,我就可以使用访问令牌来进行graph.microsoft.com调用。当令牌过期时,我可以获得一个新令牌。这个库有一个.revoke()方法,它接受一个revoke url。我将其指定为http://login.microsoft.com/common/oauth2/v2.0/logout 但刷新令牌仍然有效。
根据https://support.office.com/en-us/article/Session-timeouts-for-Office-365-37a5c116-5b07-4f70-8333-5b86fd2c3c40?ui=en-US&rs=en-US&ad=US Azure Active Directory:“管理员可以应用条件访问策略,限制用户尝试访问的资源的访问权限。”
是否可以使用oauth2请求撤消?我看到这个https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-v2-protocols-oidc 其中显示了oauth2注销网址/common/oauth2/v2.0/logout。
答案 0 :(得分:1)
Azure Active Directory不支持或提供应用程序的端点以撤消刷新令牌。建议的方法是在注销时清除令牌缓存以防止重新使用令牌。
此处有类似的帖子:Revoke a refresh token on Azure AD B2C
您可以在此处详细了解有关刷新令牌令牌生存期的政策 https://docs.microsoft.com/en-us/azure/active-directory/active-directory-configurable-token-lifetimes