Compartir a través de


Actualización de tokens en la Plataforma de identidad de Microsoft

Cuando un cliente adquiere un token de acceso para acceder a un recurso protegido, recibe también un token de actualización. El token de actualización se usa para obtener nuevos pares de tokens de acceso y actualización cuando el token de acceso actual expira.

Los tokens de actualización se usan también para adquirir tokens de acceso adicionales para otros recursos. Los tokens de actualización están enlazados a una combinación de usuario y cliente, pero no están asociados a ningún recurso ni inquilino. Un cliente puede usar un token de actualización para adquirir tokens de acceso en cualquier combinación de recurso e inquilino donde tenga permiso para hacerlo. Los tokens de actualización están cifrados y solo la Plataforma de identidad de Microsoft puede leerlos.

Duración del token

Los tokens de actualización tienen una vigencia superior a la de los tokens de acceso. La duración predeterminada de los tokens de actualización es de 24 horas para las aplicaciones de página única y de 90 días para los demás escenarios. Los tokens de actualización se reemplazan de forma automática por uno nuevo en cada uso. La Plataforma de identidad de Microsoft no revoca los tokens de actualización antiguos cuando se usan para obtener nuevos tokens de acceso. Elimine de forma segura el token de actualización antiguo después de adquirir uno nuevo. Los tokens de actualización deben almacenarse de forma segura, como los tokens de acceso o las credenciales de las aplicaciones.

Nota:

Los tokens de actualización enviados a un URI de redirección registrados como spa expiran después de 24 horas. Los tokens de actualización adicionales adquiridos con el token de actualización inicial incluyen esa hora de expiración, por lo que las aplicaciones deben estar preparadas para volver a ejecutar el flujo de código de autorización con una autenticación interactiva para obtener un nuevo token de actualización cada 24 horas. Los usuarios no tienen que escribir sus credenciales y, normalmente, ni siquiera ven ninguna experiencia de usuario relacionada, solo una recarga de la aplicación. El explorador debe visitar la página de inicio de sesión en un marco de nivel superior para ver la sesión de inicio de sesión. Esto se debe a las características de privacidad en los exploradores, que bloquean las cookies de terceros.

Expiración del token

Los tokens de actualización se pueden revocar en cualquier momento, porque se agote el tiempo de espera o por revocaciones. La aplicación debe controlar las revocaciones mediante el servicio de inicio de sesión correctamente enviando al usuario a un símbolo del sistema de inicio de sesión interactivo para volver a iniciar sesión.

Tiempos de espera de token

No se puede configurar la vigencia de un token de actualización. No se puede reducir ni aumentar su vigencia. Por lo tanto, es importante asegurarse de proteger los tokens de actualización, ya que se pueden extraer de ubicaciones públicas por actores malintencionados o, de hecho, desde el propio dispositivo si este estuviera en peligro. Hay algunas cosas que se pueden hacer:

No todos los tokens de actualización siguen las reglas establecidas en la directiva de vigencia de los tokens. En concreto, los tokens de actualización que se usan en las aplicaciones de una sola página están fijadas siempre a 24 horas de actividad, como si se les aplicara una directiva de MaxAgeSessionSingleFactor de 24 horas.

Revocación de tokens

El servidor puede revocar los tokens de actualización debido a un cambio en las credenciales, una acción del usuario o una acción del administrador. Los tokens de actualización se dividen en dos clases: los emitidos para clientes confidenciales (columna del extremo derecho) y los emitidos para clientes públicos (el resto de columnas).

Change Cookie basada en contraseñas Token basado en contraseñas Cookie no basada en contraseñas Token no basado en contraseñas Token de cliente confidencial
La contraseña expira Permanece activa Permanece activa Permanece activa Permanece activa Permanece activa
Contraseña cambiada por el usuario Revocada Revocada Permanece activa Permanece activa Permanece activa
Usuario realiza SSPR Revocada Revocada Permanece activa Permanece activa Permanece activa
Administrador restablece la contraseña Revocada Revocada Permanece activa Permanece activa Permanece activa
El usuario revoca sus tokens de actualización Revocada Revocada Revocada Revocada Revocada
El administrador revoca todos los tokens de actualización de un usuario Revocada Revocada Revocada Revocada Revocada
Cierre de sesión único Revocada Permanece activa Revocada Permanece activa Permanece activa

Nota:

Los tokens de actualización no se revocan para los usuarios B2B en su inquilino de recursos. El token debe revocarse en el inquilino principal.

Consulte también