我正在使用AAD锁定我的Azure Web应用程序和API。我正在调用/.auth/me以检索经过身份验证的用户的令牌,然后使用id_token将该用户身份验证到api。将id_token在1小时内,这应该是罚款,你可以打电话到期/.auth/refresh,以获得新令牌。问题是,“刷新”似乎只刷新access_token和refresh_token,没有id_token。id_token如果我打开新的隐身模式并重新进行身份验证,那么我可以获得新产品的唯一方法。
有什么想法吗?id_token锁定api是可以接受的,不是吗?access_token没有对此的要求,所以我对使用感兴趣id_token。
是的,我们不能使用refresh_token续订id_token。如果您想刷新id_token,我们可以重新验证id_token。
在我看来,如果仅将id_token用于以标准化结构(JWT)传递用户身份,则后端会将其视为普通JWT并忽略有效期。它将假定被调用方已通过身份验证。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句