我正在使用AAD锁定我的azure web应用程序和api。我调用/.auth/me
来检索已验证用户的令牌,然后使用id_token
向api验证用户。id_token
将在1小时后到期,这应该很好,因为您可以调用/.auth/refresh
来获取新令牌。问题是"刷新"似乎只刷新access_token
和refresh_token
,而不是id_token
。我获得新id_token
的唯一方法是打开一个新的隐姓埋名并重新进行身份验证。
对此有什么想法吗?id_token
可以用来锁定api,不是吗?access_token
没有声明,所以我对使用id_token
很感兴趣。
是的,我们不能使用refresh_token来续订id_token。如果你想刷新一个id_token,我们可以重新验证这个id_toke。
在我看来,如果id_token只是用于在标准化结构(JWT(中传递用户身份,那么后端会将其视为普通JWT并忽略过期。它将假定被调用方已通过身份验证。