我开发了一个应用程序,它利用 OAuth 2.0 进行用户身份验证,然后从 Microsoft Graph API 检索用户详细信息。
我已经实现了登录和访问用户详细信息功能。但是,对于使用 Microsoft 凭据登录的用户,我在注销过程中遇到了困难。我拥有与当前用户会话关联的访问令牌和刷新令牌。
我知道要注销用户,我需要从应用程序中删除访问令牌和刷新令牌,然后终止会话。但是,刷新令牌仍然有效,这允许未经授权的访问。因此,我想知道如何从授权服务器(在本例中为 Microsoft)使我的应用程序中特定于登录用户的刷新令牌失效。
以下图形调用可用于取消刷新令牌:
取消已登录用户的刷新令牌:
发布:https://graph.microsoft.com/v1.0/me/revokeSignInSessions
要取消其他用户的刷新令牌:
发布:https://graph.microsoft.com/v1.0/users/{id|UserPrincipalName}/revokeSignInSessions