注销后,Azure SSO JWT令牌仍然有效

时间:2017-11-18 15:23:16

标签: azure asp.net-web-api jwt

我有一个JWT令牌,它生成客户端并存储在会话存储中。它将传递给使用Authorize属性修饰的ASP.NET WebApi端点。如果用户退出我的应用程序,那么我可以删除令牌并将用户从Azure中签名。

但是,如果用户转到不同的Azure站点并注销,那么我的应用程序中使用的令牌仍然有效(尽管用户已注销。)如何强制WebApi回调Azure并重新验证令牌在每个请求?

谢谢,

1 个答案:

答案 0 :(得分:0)

Azure AD JWT访问令牌是自签名的,并且有效内容包含 exp 时间戳,即令牌有效的日期时间。依赖方应用程序不与Azure AD通信以验证令牌,而是使用自签名信息 如您所述,注销的唯一方法是删除令牌。

当您从Azure AD SSO 注销时,您只能注销创建新访问令牌的可能性,但已发布的访问令牌将继续有效,直到它们过期。
尝试从Azure AD SSO注销,但将访问令牌保留到您的应用程序:您仍然可以访问它。

因此,如果您要从两个应用程序中注销,则需要删除这两个应用程序的访问令牌。