oauth-2.0 - 使用 AD FS 4.0 (2016) 或更高版本获取新的刷新令牌

问题描述

我将 AD FS 2016 配置为支持通过 OAuth2/OpenID Connect 使用授权代码授予和 PKCE 对“本机应用程序”进行身份验证。我通过设置以下内容创建了一个依赖方并配置（用于测试目的）令牌生命周期：

Set-AdfsRelyingPartyTrust -TargetName MyRPT -IssueOAuthRefreshTokensTo AllDevices -TokenLifetime 3

Grant-AdfsApplicationPermission -ClientRoleIdentifier MyClient -ServerRoleIdentifier MyRPT -ScopeNames openid,profile,email

Set-AdfsProperty -SSOLifetime 7 -PersistenSsoEnabled $false

...这给了我在 3 分钟后过期的访问/ID 令牌和在 7（实际上是 14，见下文）分钟后过期的刷新令牌。我还禁用了持久 SSO，所以我没有得到会话 cookie。都好。

成功验证后，我的客户端向 /oauth2/token 端点发出 POST 请求，并传递以下参数：

• client_id：“我的客户”
• 代码： ...
• 重定向uri：...
• 代码验证器：...
• 授权类型：“授权代码”

我得到以下有效回复：

{
  "access_token": "...",
  "token_type": "bearer",
  "expires_in": 180,
  "resource": "MyRPT",
  "refresh_token": "...",
  "refresh_token_expires_in": 419,
  "scope": "email profile openid",
  "id_token": "..."
}

惊人的。

然后在访问令牌到期前大约 10 秒，客户端向 /oauth2/token 发出另一个 POST 请求，这次使用以下参数：

• 刷新令牌：...
• 授予类型：“刷新令牌”
• client_id：“我的客户”

并返回以下成功响应：

{
  "access_token": "...",
  "token_type": "bearer",
  "expires_in": 180,
  "id_token": "..."
}

请注意，这次没有返回刷新令牌。同样的情况又发生了四次（总共大约 14 分钟，所以是 SSOLifetime 的两倍？），而刷新令牌仍然有效，最后，在第四次请求新访问令牌时，我收到以下正文的 400 错误：

{
  "error":"invalid_grant",
  "error_description":"MSIS9615: The refresh token received in \u0027refresh_token\u0027 parameter has expired."
}

这有点道理，但是......当当前刷新令牌接近到期时间时，不应该发出新的刷新令牌吗？

官方文档对此事有些神秘：

尽管刷新令牌在用于获取新的访问令牌时不会被撤销，但您应该丢弃旧的刷新令牌。根据 OAuth 2.0 规范说：“授权服务器可以发布一个新的刷新令牌，在这种情况下，客户端必须丢弃旧的刷新令牌并用新的刷新令牌替换它。授权服务器可以在发布后撤销旧的刷新令牌客户端的新刷新令牌。” 当新的刷新令牌生命周期长于以前的刷新令牌生命周期时，AD FS 会发出刷新令牌。若要查看有关 AD FS 刷新令牌生命周期的其他信息，请访问 AD FS 单一登录设置。

错，什么？让我用伪代码写一下：

if (newRefreshTokenLifetime > previousRefreshTokenLifetime) {
  issueNewRefreshToken();
}

...但那将永远是，不是吗？

关于如何配置 AD FS 以便它在需要时发布新的刷新令牌的任何想法？理想情况下，刷新令牌轮换会很好，但一次只有一件事......

标签： oauth-2.0openid-connectadfs