我正在尝试撤消刷新令牌,以便不能再将其用于通过oauth2获得更多访问令牌。
我正在使用simple-oauth2 nodejs库,该库包装请求以获得访问和刷新令牌的请求。一旦有了这些令牌,就可以使用访问令牌进行graph.microsoft.com调用。令牌过期后,我可以获得一个新令牌。该库具有一个.revoke()方法,该方法采用撤消URL。我将其指定为http://login.microsoft.com/common/oauth2/v2.0/logout
但刷新令牌仍然有效。
根据https://support.office.com/en-us/article/Session-timeouts-for-Office-365-37a5c116-5b07-4f70-8333-5b86fd2c3c40?ui=en-US&rs=en-US&ad=US
Azure Active Directory:“管理员可以应用条件访问策略,这些策略限制对用户尝试访问的资源的访问。”
是否可以使用oauth2请求撤销?我看到了这个https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-v2-protocols-oidc
其中显示了oauth2注销网址/common/oauth2/v2.0/logout。
最佳答案
Azure Active Directory不支持应用程序或不提供终结点来撤消刷新令牌。建议的方法是注销时清除令牌缓存,以防止重复使用令牌。
类似的帖子在这里:Revoke a refresh token on Azure AD B2C
您可以在此处阅读有关刷新令牌的令牌生存期的策略的更多信息。
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-configurable-token-lifetimes
关于node.js - Microsoft Graph OAuth2撤销/使刷新 token node.js无效,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/44660915/