期限切れのアクセストークンに関するイントロスペクションの挙動 - Authlete Documentation

期限切れのアクセストークンを引数として /api/auth/introspection API が呼び出されると、Authlete は、内部的には次の 2 つのいずれかの処理を行います。

1 回目の呼び出し: 当該アクセストークンが「期限切れ」であると判断します。この時点で当該アクセストークンの削除処理を実行します。
2 回目以降の呼び出し: 当該アクセストークンは「存在しない」と判断します。1 回目の呼び出しによって削除済みであるためです。

どちらの場合にも、/api/auth/introspection API のレスポンスに含まれる “action” は “UNAUTHORIZED” となります。 See also:

JavaDoc for Class IntrospectionResponse

トークン無効化ポリシーアクセストークンがカバーするスコープの確認