Actualización de tokens en la Plataforma de identidad de Microsoft
Cuando un cliente adquiere un token de acceso para acceder a un recurso protegido, recibe también un token de actualización. El token de actualización se usa para obtener nuevos pares de tokens de acceso y actualización cuando el token de acceso actual expira.
Los tokens de actualización se usan también para adquirir tokens de acceso adicionales para otros recursos. Los tokens de actualización están enlazados a una combinación de usuario y cliente, pero no están asociados a ningún recurso ni inquilino. Un cliente puede usar un token de actualización para adquirir tokens de acceso en cualquier combinación de recurso e inquilino donde tenga permiso para hacerlo. Los tokens de actualización están cifrados y solo la Plataforma de identidad de Microsoft puede leerlos.
Duración del token
Los tokens de actualización tienen una vigencia superior a la de los tokens de acceso. La duración predeterminada de los tokens de actualización es de 24 horas para las aplicaciones de página única y de 90 días para los demás escenarios. Los tokens de actualización se reemplazan de forma automática por uno nuevo en cada uso. La Plataforma de identidad de Microsoft no revoca los tokens de actualización antiguos cuando se usan para obtener nuevos tokens de acceso. Elimine de forma segura el token de actualización antiguo después de adquirir uno nuevo. Los tokens de actualización deben almacenarse de forma segura, como los tokens de acceso o las credenciales de las aplicaciones.
Nota:
Los tokens de actualización enviados a un URI de redirección registrados como spa expiran después de 24 horas. Los tokens de actualización adicionales adquiridos con el token de actualización inicial incluyen esa hora de expiración, por lo que las aplicaciones deben estar preparadas para volver a ejecutar el flujo de código de autorización con una autenticación interactiva para obtener un nuevo token de actualización cada 24 horas. Los usuarios no tienen que escribir sus credenciales y, normalmente, ni siquiera ven ninguna experiencia de usuario relacionada, solo una recarga de la aplicación. El explorador debe visitar la página de inicio de sesión en un marco de nivel superior para ver la sesión de inicio de sesión. Esto se debe a las características de privacidad en los exploradores, que bloquean las cookies de terceros.
Expiración del token
Los tokens de actualización se pueden revocar en cualquier momento, porque se agote el tiempo de espera o por revocaciones. La aplicación debe controlar las revocaciones mediante el servicio de inicio de sesión correctamente enviando al usuario a un símbolo del sistema de inicio de sesión interactivo para volver a iniciar sesión.
Tiempos de espera de token
No se puede configurar la vigencia de un token de actualización. No se puede reducir ni aumentar su vigencia. Por lo tanto, es importante asegurarse de proteger los tokens de actualización, ya que se pueden extraer de ubicaciones públicas por actores malintencionados o, de hecho, desde el propio dispositivo si este estuviera en peligro. Hay algunas cosas que se pueden hacer:
- Si necesita definir los periodos de tiempo antes de que se pida al usuario que vuelva a iniciar sesión, configure la frecuencia de inicio de sesión en el acceso condicional. Para más información, vea Configuración de la administración de las sesiones de autenticación con el acceso condicional.
- Usar los servicios de administración de aplicaciones de Microsoft Intune, como la administración de aplicaciones móviles (MAM) y la administración de dispositivos móviles (MDM), para proteger los datos de la organización
- Implementar la directiva de protección de tokens de acceso condicional
No todos los tokens de actualización siguen las reglas establecidas en la directiva de vigencia de los tokens. En concreto, los tokens de actualización que se usan en las aplicaciones de una sola página están fijadas siempre a 24 horas de actividad, como si se les aplicara una directiva de MaxAgeSessionSingleFactor de 24 horas.
Revocación de tokens
El servidor puede revocar los tokens de actualización debido a un cambio en las credenciales, una acción del usuario o una acción del administrador. Los tokens de actualización se dividen en dos clases: los emitidos para clientes confidenciales (columna del extremo derecho) y los emitidos para clientes públicos (el resto de columnas).
| Change | Cookie basada en contraseñas | Token basado en contraseñas | Cookie no basada en contraseñas | Token no basado en contraseñas | Token de cliente confidencial |
|---|---|---|---|---|---|
| La contraseña expira | Permanece activa | Permanece activa | Permanece activa | Permanece activa | Permanece activa |
| Contraseña cambiada por el usuario | Revocada | Revocada | Permanece activa | Permanece activa | Permanece activa |
| Usuario realiza SSPR | Revocada | Revocada | Permanece activa | Permanece activa | Permanece activa |
| Administrador restablece la contraseña | Revocada | Revocada | Permanece activa | Permanece activa | Permanece activa |
| El usuario revoca sus tokens de actualización | Revocada | Revocada | Revocada | Revocada | Revocada |
| El administrador revoca todos los tokens de actualización de un usuario | Revocada | Revocada | Revocada | Revocada | Revocada |
| Cierre de sesión único | Revocada | Permanece activa | Revocada | Permanece activa | Permanece activa |
Nota:
Los tokens de actualización no se revocan para los usuarios B2B en su inquilino de recursos. El token debe revocarse en el inquilino principal.