Azure active directory Azure AD B2C中的刷新令牌吊销

在我的AD B2C应用程序中，我需要撤销AD B2C为用户提供的所有刷新令牌。当用户帐户登录到多个应用程序并且在一个应用程序中用户更改了密码时，这是实现as的要求。当密码被更改时，我将撤销他发给其他应用程序的所有刷新令牌。 怎么做

更新：
我试着跟着

B2C-按策略获取令牌


a） 使用ad b2c用户帐户获得访问令牌和刷新令牌（直接通过租户创建，而不是通过注册策略创建）。
b） 尝试使用令牌端点获取新访问和刷新令牌，并授予\u type refresh\u token->able to get token
c） 已使用吊销令牌 和客户端凭据流（在AD B2C租户的AD blade中注册并授予对graph api的访问权的应用程序）
d） 上述令牌撤销api调用已成功，并已尝试步骤（b）。
e） 仍然能够从步骤（b）中获得新令牌

B2C-按策略获取令牌-使用GA帐户撤销


a） 使用ad b2c用户帐户获得访问令牌和刷新令牌（直接通过租户创建，而不是通过注册策略创建）。
b） 尝试使用令牌端点获取新访问和刷新令牌，并授予\u type refresh\u token->able to get token
c） 已使用吊销令牌 使用直接在租户中创建的GA帐户登录graph api explorer即可完成此操作。
d） 上述令牌撤销api调用已成功，并已尝试步骤（b）。
e） 仍然能够从步骤（b）中获得新令牌

B2C-无需支付即可获得代币


a） 使用ad b2c用户帐户获得访问令牌和刷新令牌（直接通过租户创建，而不是通过注册策略创建）。
b） 尝试使用令牌端点获取新访问和刷新令牌，并授予\u type refresh\u token->able to get token
c） 已使用吊销令牌 和客户端凭据流（在AD B2C租户的AD blade中注册并授予对graph api的访问权的应用程序）
d） 上述令牌撤销api调用已成功，并已尝试步骤（b）。
e） 无法从步骤（b）获取新令牌

B2C-无需支付即可获得代币-使用GA帐户撤销


a） 使用ad b2c用户帐户获得访问令牌和刷新令牌（直接通过租户创建，而不是通过注册策略创建）。
b） 尝试使用令牌端点获取新访问和刷新令牌，并授予\u type refresh\u token->able to get token
c） 已使用吊销令牌 这是通过使用直接在租户中创建的GA帐户登录到graph api explorer来完成的。
d） 上述令牌撤销api调用已成功，并已尝试步骤（b）。
e） 仍然能够从步骤（b）中获得新令牌

基本上无法撤销从b2c策略工作流创建的令牌

解决方案：
刷新令牌撤销图api正在工作。但这大约需要5分钟。
但这里的问题是在等待期间，我能够获得新的刷新令牌和访问令牌，并且这些新的刷新令牌即使在撤销之后也能工作。这意味着Azure AD考虑了刷新令牌撤销api调用的请求时间，并撤销了在此时间之前发出的所有刷新令牌。
那么如何避免呢？

---

当脱机作用域使用现有刷新令牌请求新的访问令牌时，为什么Azure AD提供新的刷新令牌，即使现有刷新令牌具有有效期。？

您可以使用Azure AD Graph API：

POST https://graph.windows.net/myorganization/users/{user_id}/invalidateAllRefreshTokens?api-version=1.6

---

嗨，你试过什么吗？如果是这样的话，请试着放一些样品，这样可以更容易地了解你的问题。谢谢，我试过了。通过策略从B2C创建的刷新令牌无效。我也提到了这个链接（）。但它不起作用。请帮助我修复此问题。嗨@Raj在获取刷新令牌后多久（几分钟内）您使其无效，以及在使其无效后多久您尝试赎回它？嗨@Chris，我在调用revoke graph api后立即进行了尝试。我发现它能在1-5分钟后工作。但我有个问题。直到它撤销刷新令牌（等待时间为5分钟），我才能获得多个新的访问令牌和刷新令牌。这些新的刷新令牌即使在撤销后也能工作。如何避免这种情况？当脱机作用域使用现有刷新令牌请求新的访问令牌时，为什么Azure AD会提供新的刷新令牌，即使现有的刷新令牌具有有效期。？@Raj您对这个问题有什么了解吗？