我正在使用AAD锁定我的Azure Web应用程序和API。我正在调用/.auth/me
以检索经过身份验证的用户的令牌,然后使用id_token
将该用户身份验证到api。将id_token
在1小时内,这应该是罚款,你可以打电话到期/.auth/refresh
,以获得新令牌。问题是,“刷新”似乎只刷新access_token
和refresh_token
,没有id_token
。id_token
如果我打开新的隐身模式并重新进行身份验证,那么我可以获得新产品的唯一方法。
有什么想法吗?id_token
锁定api是可以接受的,不是吗?access_token
没有对此的要求,所以我对使用感兴趣id_token
。
是的,我们不能使用refresh_token续订id_token。如果您想刷新id_token,我们可以重新验证id_token。
在我看来,如果仅将id_token用于以标准化结构(JWT)传递用户身份,则后端会将其视为普通JWT并忽略有效期。它将假定被调用方已通过身份验证。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句