我正在使用AAD锁定我的azure web应用程序和api。我调用/.auth/me来检索已验证用户的令牌,然后使用id_token向api验证用户。id_token将在1小时后到期,这应该很好,因为您可以调用/.auth/refresh来获取新令牌。问题是"刷新"似乎只刷新access_token和refresh_token,而不是id_token。我获得新id_token的唯一方法是打开一个新的隐姓埋名并重新进行身份验证。
对此有什么想法吗?id_token可以用来锁定api,不是吗?access_token没有声明,所以我对使用id_token很感兴趣。
是的,我们不能使用refresh_token来续订id_token。如果你想刷新一个id_token,我们可以重新验证这个id_toke。
在我看来,如果id_token只是用于在标准化结构(JWT(中传递用户身份,那么后端会将其视为普通JWT并忽略过期。它将假定被调用方已通过身份验证。