Microsoft Graph OAuth2 revoke/invalidate 刷新令牌 node.js
Microsoft Graph OAuth2 revoke/invalidate refresh token node.js
我正在尝试撤销刷新令牌,以便它不能再用于通过 oauth2 获取更多访问令牌。
我正在使用 simple-oauth2 nodejs 库,它包装了获取访问和刷新令牌的请求。获得这些令牌后,我可以使用访问令牌进行 graph.microsoft.com 调用。当令牌过期时,我可以获得一个新的。这个库有一个 .revoke() 方法,它接受一个撤销 url。我将其指定为 http://login.microsoft.com/common/oauth2/v2.0/logout
但刷新令牌仍然有效。
根据https://support.office.com/en-us/article/Session-timeouts-for-Office-365-37a5c116-5b07-4f70-8333-5b86fd2c3c40?ui=en-US&rs=en-US&ad=US
Azure 活动目录:"An administrator can apply conditional access policies which restrict access to the resource the user is trying to access."
是否可以使用 oauth2 请求撤销?我看到这个 https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-v2-protocols-oidc
这显示了 oauth2 注销 url /common/oauth2/v2.0/logout.
Azure Active Directory 不支持也不提供端点供应用程序撤销刷新令牌。推荐的方法是在注销时清除令牌缓存,以防止重复使用令牌。
这里有一个类似的 post:Revoke a refresh token on Azure AD B2C
您可以在此处阅读有关刷新令牌的令牌生命周期政策的更多信息
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-configurable-token-lifetimes
我正在尝试撤销刷新令牌,以便它不能再用于通过 oauth2 获取更多访问令牌。
我正在使用 simple-oauth2 nodejs 库,它包装了获取访问和刷新令牌的请求。获得这些令牌后,我可以使用访问令牌进行 graph.microsoft.com 调用。当令牌过期时,我可以获得一个新的。这个库有一个 .revoke() 方法,它接受一个撤销 url。我将其指定为 http://login.microsoft.com/common/oauth2/v2.0/logout 但刷新令牌仍然有效。
根据https://support.office.com/en-us/article/Session-timeouts-for-Office-365-37a5c116-5b07-4f70-8333-5b86fd2c3c40?ui=en-US&rs=en-US&ad=US Azure 活动目录:"An administrator can apply conditional access policies which restrict access to the resource the user is trying to access."
是否可以使用 oauth2 请求撤销?我看到这个 https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-v2-protocols-oidc 这显示了 oauth2 注销 url /common/oauth2/v2.0/logout.
Azure Active Directory 不支持也不提供端点供应用程序撤销刷新令牌。推荐的方法是在注销时清除令牌缓存,以防止重复使用令牌。
这里有一个类似的 post:Revoke a refresh token on Azure AD B2C
您可以在此处阅读有关刷新令牌的令牌生命周期政策的更多信息 https://docs.microsoft.com/en-us/azure/active-directory/active-directory-configurable-token-lifetimes