我试图不让我的用户在登录一次后使用应用程序时一次又一次地登录,为此,我试图生成刷新令牌(已经有accessToken和授权代码以及idToken,使用auth代码流),并使用刷新令牌刷新访问令牌。
我有一个疑问,我是否可以生成刷新令牌不使用后端服务器或不使用认证流和PKCE,或者如果我需要后端,那么如何处理它。或者是否有其他方法可以阻止已登录的用户再次登录?有人能帮我吗?
为此,我注册了一个azure应用程序,并从那里获得了该应用程序的凭据。从Azure链接的文档到Azure文档,我发现只有两种类型的可用流:隐式流和授权码授权
。在隐式流的文档中提到更喜欢auth流,所以我决定遵循它并使用auth代码流,但现在我被如何获取刷新令牌以供进一步使用所困扰。
1条答案
按热度按时间oalqel3c1#
最好使用OAuth 2.0 authorization code flow。SPA应用程序不再建议使用隐式流。
不能配置刷新令牌的生存期。你不能缩短或延长它们的寿命。Configure sign-in frequency in Conditional Access,以定义要求用户再次登录之前的时间段。有关详细信息,请参阅使用条件访问配置身份验证会话管理。
并非所有刷新令牌都遵循令牌生存期策略中设置的规则。具体来说,单页面应用中使用的刷新令牌始终固定为24小时活动,就好像它们应用了24小时的MaxAgeSessionSingleFactor策略。