微軟圖OAuth2撤消/無效刷新令牌node.js

Question

我想撤銷一個刷新令牌，以便它不能用於任何進一步通過oauth2獲得更多的訪問令牌。

我正在使用simple-oauth2 nodejs庫來封裝獲取訪問和刷新令牌的請求。一旦擁有這些令牌，我就可以使用訪問令牌來調用graph.microsoft.com。當令牌到期時，我可以獲得一個新的。這個庫有一個.revoke（）方法，它需要一個撤銷url。我將其指定爲http://login.microsoft.com/common/oauth2/v2.0/logout ，但刷新標記仍然有效。

根據https://support.office.com/en-us/article/Session-timeouts-for-Office-365-37a5c116-5b07-4f70-8333-5b86fd2c3c40?ui=en-US&rs=en-US&ad=US Azure活動目錄：「管理員可以應用條件訪問策略，限制訪問用戶試圖訪問的資源。」

是否可以使用oauth2請求撤銷？我看到這個https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-v2-protocols-oidc 顯示oauth2註銷url /common/oauth2/v2.0/logout。

Answer 1

Azure Active Directory不支持或爲應用程序提供端點來撤消刷新令牌。推薦的方法是在註銷時清除令牌緩存以防止重用令牌。

類似的職位是在這裏：Revoke a refresh token on Azure AD B2C

你可以閱讀更多關於更新的令牌壽命的政策在這裏令牌 https://docs.microsoft.com/en-us/azure/active-directory/active-directory-configurable-token-lifetimes