Azure AD B2C 自定义策略中的刷新令牌吊销

Question

我已经提出了问题Refresh token revoke，它会在 1-5 分钟后起作用。
但它仅适用于内置策略（用户流），不适用于自定义策略。

我从内置策略中获得了 refresh_token A，从自定义策略中获得了 refresh_token B。

为同一租户中的同一用户接收两个令牌。

执行 revoke(Graph API) 后，当我尝试使用 refresh_token A 获取新的访问权限和刷新令牌时，它失败了。但是当我尝试使用 refresh_token B（通过自定义策略接收）时，它仍然有效。能够获得新的令牌。

我在撤销电话后给了 15 分钟的时间间隔。

请帮我解决这个问题。

Answer 1

The Configure the resource owner password credentials flow in Azure Active Directory B2C using a custom policy article 描述了必须实现的自定义元素，以管理刷新令牌并测试已发布的令牌是否无效。

你必须：

• 创建 refreshTokenIssuedOnDateTime 和 refreshTokensValidFromDateTime 声明类型
• 创建 AssertRefreshTokenIssuedLaterThanValidFromDate 声明转换
• 创建 AAD-UserReadUsingObjectId-CheckRefreshTokenDate 和 SM-RefreshTokenReadAndSetup 技术配置文件
• 创建 ResourceOwnerPasswordCredentials-RedeemRefreshToken 用户旅程
• 请参阅 JwtIssuer 技术配置文件的 RefreshTokenUserJourneyId 元属性中的此用户旅程

默认情况下，时钟偏差设置为 0，但您可以使用 AssertRefreshTokenIssuedLaterThanValidFromDate 声明转换的 TreatAsEqualIfWithinMillseconds 参数进行更改：

<ClaimsTransformation Id="AssertRefreshTokenIssuedLaterThanValidFromDate" TransformationMethod="AssertDateTimeIsGreaterThan">
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="refreshTokenIssuedOnDateTime" TransformationClaimType="leftOperand" />
    <InputClaim ClaimTypeReferenceId="refreshTokensValidFromDateTime" TransformationClaimType="rightOperand" />
  </InputClaims>
  <InputParameters>
    <InputParameter Id="AssertIfEqualTo" DataType="boolean" Value="false" />
    <InputParameter Id="AssertIfRightOperandIsNotPresent" DataType="boolean" Value="true" />
    <!-- Set the clock skew to 5 minutes (300000 milliseconds). -->
    <InputParameter Id="TreatAsEqualIfWithinMillseconds" DataType="int" Value="300000" />
  </InputParameters>
</ClaimsTransformation>