【发布时间】:2020-12-01 14:49:32
【问题描述】:
我正在 AD B2C 本地帐户中创建一个用户,并且能够使用 https://login.microsoftonline.com/{{My_Domain_Name}}.onmicrosoft.com/oauth2/token/ 为创建的用户生成用户 ID 令牌,并且我正在使用此令牌来获取用户配置文件 https://graph.windows.net/{{My_Domain_Name}}.onmicrosoft.com/users/{{USER_ID}}?api-version=1.6。现在,如果我更改用户的密码并保留旧的用户 ID 令牌,我仍然可以访问用户配置文件,有没有办法使用旧令牌限制获取用户?
【问题讨论】:
-
首先,您使用访问令牌来访问用户配置文件。无法撤销访问令牌。但是您可以撤销刷新令牌,然后当旧访问令牌过期时,用户将失去对 AAD 的访问权限。默认到期时间为 1 小时。见docs.microsoft.com/en-us/azure/active-directory/…。
标签: azure oauth-2.0 azure-active-directory azure-ad-b2c