用戶刪除同意書時令牌無效？

Question

我有一個使用微軟圖形API的客戶端應用程序。

在下面的場景：當令牌是活躍

用戶執行調用API操作

1. 用戶登錄到應用
2. 用戶刪除同意。應用程序仍然可以調用API，即使同意已被刪除，直到令牌在1小時後過期

應該讓令牌失效並且API路由應該返回401嗎？是否有我可以調用的API來檢查應用程序是否具有權限？如果不是我可以安全地假設只要令牌處於活動狀態，我可以進行API調用？

如果此用戶將我們的日誌重新登錄到所有預期的工作，因爲用戶需要允許應用程序訪問所需的作用域。

Answer 1

這是正確的，訪問令牌不能被撤銷，並且在它們到期前一直有效。然而刷新令牌can be revoked從而阻止應用程序檢索新的訪問令牌。