사용자가 잠긴 경우 Azure AD가 액세스/새로 고침 토큰을 무효화하지 않습니다.

Question

우리는 ADAL 라이브러리를 사용하여 모바일 앱에 azure AD를 구현합니다. 주어진 경우이 사용자는

입니다. 사용자가 앱에 로그인했으며 유효한 액세스 및 새로 고침 토큰을 가지고 있습니다. 사용자가 로그 아웃하지 않고 다른 앱 (예 : Outlook)에서 사용자가 비밀번호를 여러 번 잘못 입력하면 계정이 잠길 수 있습니다. 게시, 응용 프로그램으로 돌아 가면 액세스 및 새로 고치기 토큰이 여전히 유효하며 사용자가 보안 위반 인 모든 작업을 수행 할 수 있음을 알 수 있습니다. 이상적으로는 사용자 계정이 잠겨 있으면 액세스를 무효화하고 토큰을 새로 고쳐야합니다. 제대로 작동하는 법.

Answer 1

액세스 토큰/새로 고침 토큰은 토큰의 수명 기간 동안 사용할 수 있습니다. 웹 응용 프로그램을 로그 아웃하고 계정이 토큰을 취소하지 않도록 차단하십시오.

현재 Azure Active Directory는 응용 프로그램이 액세스/새로 고치기 토큰을 취소하기위한 끝점을 지원하지 않거나 제공하지 않습니다.

configurable token lifetimes in Azure Active Directory에 대한 자세한 내용을 확인하여 토큰 수명에 대한 정책을 확인하고 요구 사항에 따라 해당 기준을 조정할 수 있습니다.