我有2个应用程序,一个是弹簧靴,另一个是角度靴。目前,我已经将我的应用程序与azure广告集成在一起,因此可以通过它进行身份验证。现在的问题是,当用户从前端应用程序注销时,如果令牌未过期,如何使Azure AD提供的JWT令牌无效。因为,即使有人注销了,即使有人仍然能够获得令牌,他可以使用该令牌从后端检索数据。 你知道怎么做吗?
答案 0 :(得分:0)
我想分享一个针对Azure AD的答案。
您在此处提出的所有Azure AD令牌的问题都是相同的。这包括Microsoft的第一方应用程序(SharePoint,Word,Teams,Outlook)。访问令牌的默认令牌到期时间为60分钟,刷新令牌的默认令牌到期时间为90天。然后,您还有其他因素会影响刷新令牌的寿命,例如MaxInactiveTime,MaxSessionAge等。
Microsoft嘲笑可配置令牌生存期的想法(请参阅https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-configurable-token-lifetimes),但它引起了问题,因此他们放弃了它,转而使用条件访问策略,在该条件下Azure AD租户所有者可以指定租户级别登录频率。请注意,但这仅适用于刷新令牌。
将访问令牌硬设置为60分钟的窗口,此后它将过期。应用开发者有责任确保访问令牌的安全。最佳做法是始终将其存储在内存中,切勿将其写入永久存储区,也不要将其公开在可以记录它的URL上。