SPA应用程序使用的B2C自定义策略的Access_token寿命是什么？

发布于 2025-02-08 03:36:22 字数 1632 浏览 2 评论 0 原文

在试图找到一种方法来最大化用户必须进行重新验证的时间（尤其是在用户进行社交登录的情况下，例如与Microsoft登录）。

我偶然发现了这份Microsoft文档，该文档陈述了令牌的寿命。

Microsoft Docs-代币寿命

以及这些MSAL文档（这是我在Web应用程序上使用的库）

msal docs- token lifetimes

这两个来源的国家限制我都被发现是我的。不正确：

Microsoft文档

token_lifetime_secs-访问令牌寿命（秒）。默认值为3,600（1小时）。最低为300（5分钟）。最大值为86,400（24小时）。

我发现，在上传B2C策略时，有一个验证，该验证表示以下内容。

访问令牌的寿命应在5分钟至10080分钟之间
的Access_token寿命

，请发出B2C令牌作为水疗登录流的一部分，我能够解码Access_Token，该访问_Token具有7天的寿命，直到发行

这与Microsoft文档冲突，即Access_token Lifetime限制为24小时。

有人有经验吗，访问令牌的真正寿命是什么？

如果我将此Access_Token存储在本地存储中，则用户将在接下来的7天内进行持续的会话？因为我从MSAL文档中了解到，只要访问_token未过期，就不会使用refresh_token（此refresh_token的寿命为24h不可扩展，并且独立于以前完成了多少刷新），因此用户是用户将保持对7天应用程序的访问，而无需重新验证。

B2C自定义策略会话的生命周期如何在这里发挥作用？

自定义政策会话寿命与访问令牌和MSAL的关系是什么？

原文