Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un jeton d’actualisation est utilisé pour obtenir de nouvelles paires de jetons d’accès et d’actualisation à l’expiration du jeton d’accès actuel. Lorsqu’un client acquiert un jeton d’accès pour accéder à une ressource protégée, il reçoit aussi un jeton d’actualisation.
Les jetons d’actualisation permettent également d’acquérir des jetons d’accès supplémentaires pour d’autres ressources. Les tokens d'actualisation sont associés à une combinaison d'utilisateur et de client, mais ne sont pas liés à une ressource ou à une entité. Un client peut utiliser un jeton d'actualisation pour obtenir des jetons d'accès pour n'importe quelle combinaison de ressources et de locataires pour lesquels il dispose de la permission. Les jetons d’actualisation sont chiffrés, et seule la plateforme d’identités Microsoft peut les lire.
Durée de vie des jetons
Les jetons d’actualisation ont une durée de vie plus longue que les jetons d’accès. La durée de vie par défaut des jetons de rafraîchissement est de 24 heures pour les applications à page unique et de 90 jours pour tous les autres scénarios. Les jetons d’actualisation sont automatiquement remplacés par un nouveau jeton après chaque utilisation. La plateforme d’identités Microsoft ne révoque pas les anciens jetons d’actualisation qui ont été utilisés pour récupérer de nouveaux jetons d’accès. Vous pouvez sans problème supprimer l’ancien jeton d’actualisation après l’acquisition d’un nouveau. Les jetons d’actualisation doivent être stockés de manière sécurisée comme les jetons d’accès ou les informations d’identification d’application.
Remarque
Les jetons d’actualisation envoyés à un URI de redirection inscrit en tant que spa expirent au bout de 24 heures. Les jetons d’actualisation supplémentaires acquis à l’aide du jeton d’actualisation initial répercutant ce délai d’expiration, les applications doivent être prêtes à réexécuter le flux de code d’autorisation en utilisant une authentification interactive pour obtenir un nouveau jeton d’actualisation toutes les 24 heures. Les utilisateurs n’ont pas besoin d’entrer leurs informations d’identification et généralement ne voient même pas d’expérience utilisateur associée, juste un rechargement de votre application. Le navigateur doit accéder à la page de connexion dans un cadre de niveau supérieur pour montrer la session de connexion. Cela est dû aux fonctionnalités de confidentialité dans les navigateurs qui bloquent les cookies tiers.
Expiration du jeton
Les jetons d’actualisation expirent automatiquement une fois la période de durée de vie écoulée. En outre, ils peuvent être révoqués par le service de connexion à tout moment avant leur expiration. Votre application doit gérer de telles révocations correctement en redirigeant l’utilisateur vers une invite de connexion interactive pour réauthentifier et obtenir un nouveau jeton.
Révocation de jetons
Le serveur peut révoquer des jetons d’actualisation en raison d’une modification des informations d’identification, d’une action de l’utilisateur ou d’une action de l’administrateur. Les jetons d’actualisation se répartissent en deux classes : les jetons émis pour les clients confidentiels (colonne la plus à droite) et les jetons émis pour les clients publics (toutes les autres colonnes).
| Modifier | Cookie basé sur un mot de passe | Jeton basé sur un mot de passe | Cookie non basé sur un mot de passe | Jeton non basé sur un mots de passe | Jeton client confidentiel |
|---|---|---|---|---|---|
| Le mot de passe expire | Reste en vie | Reste actif | Reste actif | Reste en vie | Reste en vie |
| Mot de passe modifié par l’utilisateur | Révoqué | Révoqué | Reste en vie | Reste en vie | Reste actif |
| L’utilisateur effectue SSPR | Révoqué | Révoqué | Reste en vie | Reste en vie | Reste en vie |
| L’administrateur réinitialise le mot de passe | Révoqué | Révoqué | Reste en vie | Reste en vie | Reste actif |
| L’utilisateur révoque ses jetons d’actualisation | Révoqué | Révoqué | Révoqué | Révoqué | Révoqué |
| L’administrateur révoque tous les jetons d’actualisation d’un utilisateur | Révoqué | Révoqué | Révoqué | Révoqué | Révoqué |
| Déconnexion unique | Révoqué | Reste en vie | Révoqué | Reste en vie | Reste actif |
Remarque
Les jetons d'actualisation ne sont pas révoqués pour les utilisateurs B2B dans leur locataire de ressources. Le jeton doit être révoqué dans le locataire d'origine.