【发布时间】:2019-07-23 14:23:41
【问题描述】:
我们正在使用 MSAL 库并调用 end_session_endpoint url 进行注销,它不会使访问令牌无效。 如果我们在注销后使用相同的令牌,它仍然有效。任何相同的修复。 是否有任何特殊的方法可以从 Web 应用程序中注销
注意:我们在移动设备中也看到了这个问题,库 react-native-ios-android-appauth-b2c
【问题讨论】:
-
您确定将注销发送到正确的 B2C 端点吗?你能给我们端点 URL 吗?
-
"end_session_endpoint": "https://
.xxx.xxx/ .xxxx.xxx/oauth2/v2.0/logout?p= " -
访问令牌是不记名令牌,它们在到期之前一直有效,并且没有使它们失效的机制。你确定你不是在谈论客户端会话吗?
-
你的网址中的 xxx.xxx 是什么? fabrikamb2c.b2clogin.com/fabrikamb2c.onmicrosoft.com/oauth2/… 之类的东西? p=b2c_1_sign_in &post_logout_redirect_uri=https%3A%2F%2Faadb2cplayground.azurewebsites.net%2F ?请注意,您屏蔽的 2 个部分不相同!
-
您可能将访问令牌与会话 cookie 或类似的东西混淆了。 end_session_endpoint 只会清除会话。
标签: azure azure-ad-b2c