我们正在使用MSAL库并调用end_session_endpoint url进行注销,这不会使访问令牌无效。 如果我们在注销后使用相同的令牌,它将仍然有效。任何修复都一样。 有什么特殊的方法可以从Web应用程序中注销
注意:我们也在移动设备库中看到了此问题react-native-ios-android-appauth-b2c
答案 0 :(得分:0)
按照规范。访问令牌无法撤消或无效。
已记录为here。
“客户端使用访问令牌来访问受保护的资源。访问令牌只能用于用户,客户端和资源的特定组合。访问令牌不能被撤消,并且在它们到期之前都是有效的。获得访问令牌的恶意参与者可以在其生存期内使用它。调整访问令牌的生存期是在提高系统性能和增加客户端保留用户访问后的访问时间之间的权衡。通过减少客户端获取新访问令牌的次数来提高系统性能,默认值为1小时-1小时后,客户端必须使用刷新令牌(通常以静默方式)获取新的访问令牌刷新令牌和访问令牌。”
可以撤消刷新令牌。
答案 1 :(得分:0)
访问令牌不能无效。它是不记名的令牌,因此持有它的任何人都可以使用它,直到到期为止。
在您的情况下,注销时可能不需要使令牌无效。您只需将其删除即可,以确保它不会在任何地方持久保存。
您提到的end_session_endpoint端点将只清除浏览器中的B2C会话cookie和B2C服务器上的用户状态,它们与访问令牌没有直接关系。