令牌撤销政策无效

Question

我们已阅读以下文件https://github.com/MicrosoftDocs/azure-docs/blob/master/articles/active-directory/develop/active-directory-token-and-claims.md

我们发现令牌撤销策略非常明确：如果用户更改了密码，则可能需要重新进行身份验证。但是我们一次又一次地测试，看起来这个策略对我们不起作用：原始的access_token和refresh_token仍然可以使用而没有任何错误。它有意义吗？或者我们错过了什么？

token revocation policy in document

我们以这种方式进行了测试。让我们看看是否有任何问题。

1. 用户首次登录应用程序时，会输入他们的 凭证，应用程序获取access_token进行访问 资源。
2. 应用程序保存access_token，并使用此信息 直接在下一个请求中。

3. 当access_token过期时， 应用程序使用refresh_token获取新的access_token

4. 用户可能出于各种原因修改密码，我们期待 原始令牌自动撤销并提示使用 下次重新认证

5. 我们无法将行为视为期望