我正在尝试撤销刷新 token ,以便它无法进一步用于通过 oauth2 获取更多访问 token 。
我正在使用 simple-oauth2 nodejs 库来包装获取访问和刷新 token 的请求。获得这些 token 后,我可以使用访问 token 进行 graph.microsoft.com 调用。当 token 过期时,我可以获得一个新的。这个库有一个 .revoke() 方法,它接受一个撤销 URL。我将其指定为 http://login.microsoft.com/common/oauth2/v2.0/logout 但刷新 token 仍然有效。
根据https://support.office.com/en-us/article/Session-timeouts-for-Office-365-37a5c116-5b07-4f70-8333-5b86fd2c3c40?ui=en-US&rs=en-US&ad=US Azure Active Directory:“管理员可以应用条件访问策略来限制对用户尝试访问的资源的访问。”
是否可以撤销使用oauth2请求?我看到这个https://learn.microsoft.com/en-us/azure/active-directory/develop/active-directory-v2-protocols-oidc 显示了 oauth2 注销 url/common/oauth2/v2.0/logout。
最佳答案
Azure Active Directory 不支持也不为应用程序提供撤销刷新 token 的终结点。建议的方法是在注销时清除 token 缓存,以防止重复使用 token 。
类似的帖子在这里:Revoke a refresh token on Azure AD B2C
您可以在此处详细了解有关刷新 token 的 token 生命周期的政策 https://learn.microsoft.com/en-us/azure/active-directory/active-directory-configurable-token-lifetimes
关于node.js - Microsoft Graph OAuth2 撤销/无效刷新 token node.js,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44660915/