用户删除同意时令牌失效?

时间:2017-07-18 18:40:33

标签: microsoft-graph

我有一个使用microsoft graph api的客户端应用程序。

在以下情形中:

  1. 用户登录应用程序
  2. 用户在令牌激活时删除同意
  3. 用户执行调用API的操作。应用程序仍然可以调用API,即使在1小时后令牌到期之前删除了同意

    4. 令牌无效且API路由应返回401吗?是否有我可以调用的API来检查应用程序是否有权限?如果不是,我可以安全地假设只要令牌处于活动状态我可以进行API调用吗?

    如果此用户记录我们并重新登录,则所有内容都按预期工作,因为用户需要允许该应用程序使用所需的范围。

1 个答案:

答案 0 :(得分:1)

这是正确的,访问令牌不能被撤销,并且在它们到期之前有效。但刷新令牌can be revoked从而阻止应用程序检索新的访问令牌。

相关问题
最新问题