POST /api/external-auth/revoke
Revoga um refresh token, encerrando a sessão do fornecedor.
Request
Headers
| Header | Valor |
|---|---|
Content-Type | application/json |
Body
{
"refreshToken": "dGhpcyBpcyBhIHNhbXBsZSByZWZyZXNoIHRva2Vu"
}
| Campo | Obrigatório | Descrição |
|---|---|---|
refreshToken | ✅ | Refresh token a ser revogado |
curl -s -o /dev/null -w "%{http_code}" \
-X POST https://servicos.ifollowtech.com.br/api/external-auth/revoke \
-H "Content-Type: application/json" \
-d '{"refreshToken": "SEU_REFRESH_TOKEN"}'
# Saída: 204
Response
204 No Content
Sempre retornado — independente de:
- O token existir ou não.
- O token já estar revogado.
- O body estar vazio ou malformado.
RFC 7009 §2.2
Esta é a especificação correta para endpoints de revogação: nunca revelar se o token existia. Isso previne que um atacante use o endpoint para descobrir se um token capturado ainda está ativo.
O que acontece após a revogação
- O access token emitido junto com o refresh token continua válido até sua expiração natural (~15 min). Não há como revogar JWTs já emitidos.
- Se precisar de invalidação imediata, considere reduzir o
AccessTokenExpirationMinutespara o fornecedor em questão. - Para encerrar completamente a integração, desative o
SupplierClientno banco (IsActive = false).