什么是刷新令牌，我們可以控制刷新 AADB2C 中的 ID 和訪問令牌嗎？

Question

我的團隊正在為我們客戶的移動應用程序實施或更確切地說配置 B2C 登錄。 我們將配置設置到用戶可以登錄到應用程序一次並且令牌緩存在 MSAL 中的程度。 下次以后，用戶可以直接登錄而無需輸入他/她的憑據。 我們遵循此處描述的模式

我們的代碼首先嘗試使用AcquireTokenSilent檢索令牌，如果該令牌不存在於 MSAL 緩存中，則我們使用AcquireTokenInteractive檢索它。

我試圖了解如何刷新 ID 和訪問令牌，並在此處的 MS 文檔中找到關於令牌的內容

刷新令牌用於在 OAuth 2.0 流中獲取新的 ID 令牌和訪問令牌。 它們代表用戶為您的應用程序提供對資源的長期訪問權限，而無需與這些用戶交互...

這里也提到了，當我們兌換刷新令牌來獲取新的 ID 和訪問令牌時，我們也會得到一個新的刷新令牌來替換之前的刷新令牌。

現在我嘗試注銷並在 1 小時或更長時間后重新登錄我的移動應用程序，但我仍然能夠登錄。 當我檢查聲明時，ID 和訪問令牌到期被刷新到下一個 1 小時的登錄時間。

我的問題是：

1. 由於 ID 令牌和訪問令牌的默認到期時間為 1 小時，那么即使我注銷了一個多小時，我的令牌也刷新了，並且我能夠在不輸入用戶憑據的情況下登錄。
2. 如果這是因為刷新令牌會在 ID 和訪問令牌接近到期時自動刷新，那么此過程是否會在 go 上運行，直到刷新令牌自行到期。
3. MS 文檔還提到，當 ID 和 Access 令牌過期后重新生成時，我們還會獲得一個新的刷新令牌。 如果是這種情況，那么刷新令牌將永遠不會過期，因為新令牌將始終具有新的過期時間。
4. 有沒有辦法控制刷新令牌，以便我們可以控制何時刷新 ID 和訪問令牌。

如果我錯過了什么，我很抱歉，但我對刷新令牌的工作原理有點困惑，有沒有辦法控制何時刷新令牌，何時不刷新。

提前致謝。

Answer 1

是的，刷新令牌用於獲取新的id令牌和訪問令牌，即使id令牌和訪問令牌都過期了，只要刷新令牌沒有過期，就可以使用刷新令牌獲取新的id令牌和訪問權限令牌，同時會生成一個新的刷新令牌，如果你想配置令牌的生命周期，你可以在門戶中進行。

參考 - https://docs.microsoft.com/en-us/azure/active-directory-b2c/configure-tokens?pivots=b2c-user-flow