我来帮你梳理下这个问题——你没搞错逻辑，在Authorization Code Flow流程里，只要正确请求了offline_access scope，确实应该在第一次用授权码换取token时，同时拿到access_token和refresh_token。以下是几个常见的排查和修复步骤：

1. 强制用户重新确认offline_access权限 #

很多时候问题出在：用户之前已经授权过你的应用，但当时的权限列表里没有offline_access。Microsoft不会自动补发refresh token，必须让用户重新确认包含该权限的授权请求：

修改你的授权URL生成代码，添加prompt=consent参数，强制弹出权限同意页面：

$authorizationUrl = $oauthClient->getAuthorizationUrl([
    'prompt' => 'consent'
]);

这样用户会看到包含"允许应用保持对数据的访问权限"的选项，同意后，后续的token请求就会返回refresh token了。

2. 确认offline_access scope被正确传递 #

虽然你在配置里写了scopes => 'MailboxSettings.ReadWrite offline_access'，但可以手动验证授权请求的URL：

• 生成授权URL后，复制到浏览器查看，URL中的scope参数必须明确包含offline_access。
• 如果没有，检查是否有其他代码覆盖了scopes配置，或者GenericProvider的初始化是否存在拼写错误。

3. 检查Token请求的响应细节 #

在你的重定向脚本里，打印完整的token响应，排查是否有错误提示或refresh_token字段缺失：

try {
    $accessToken = $oauthClient->getAccessToken('authorization_code', [
        'code' => $_GET['code']
    ]);
    // 打印token详情，确认refresh_token是否存在
    var_dump($accessToken->getToken(), $accessToken->getRefreshToken());
} catch (\League\OAuth2\Client\Provider\Exception\IdentityProviderException $e) {
    echo "Token请求失败：" . $e->getMessage();
    exit;
}

如果响应里明确提示缺少offline_access权限，那就是授权步骤的问题；如果没有错误但就是没有refresh_token，继续检查应用配置。

4. 检查Azure应用注册的配置 #

登录Azure门户，找到你的应用注册，确认以下设置：

• 进入认证页面，确保重定向URI和代码里的redirectUri完全一致（大小写、路径都不能出错）。
• 对于Web应用，高级设置里的"允许公共客户端流"不需要开启（这个是给桌面/移动应用用的，Web应用用Authorization Code Flow不需要）。
• 确认应用的权限配置里，已经添加了offline_access（动态请求的优先级更高，但手动配置可以兜底）。

最后总结 #

核心问题就是offline_access权限没有被用户同意，或者没有被正确传递到授权请求中。只要让用户重新同意包含该scope的权限，就能正常拿到refresh token了。

内容的提问来源于stack exchange，提问作者Floyd Resler