我目前正在使用passport-azure-ad和@azure/msal-nodenodejs库为我的API对用户进行身份验证。当用户通过他/她的microsoft帐户成功进行身份验证时,我们会收到一个access_token,用户可以使用该access_toke调用我们的API。现在,如果我们从Azure管理面板禁用用户的帐户,则用户已经存在的access_token应该无效,并且他/她应该无法使用该access_toke调用我们的API。
我们该怎么做?
基本上,你不能。
我认为规范不允许撤销访问令牌。
但是,您可以撤销刷新令牌。
当访问令牌过期时,刷新令牌将不会兑现,用户将被注销。
展望未来,持续访问评估将发挥作用,但它尚未在许多应用程序中实现。迄今为止。