Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Token refresh digunakan untuk mendapatkan akses baru dan pasangan token refresh saat token akses saat ini kedaluwarsa. Ketika klien memperoleh token akses untuk mengakses sumber daya yang dilindungi, klien juga menerima token refresh.
Token refresh juga digunakan untuk memperoleh token akses tambahan untuk sumber daya lain. Token refresh terikat ke kombinasi pengguna dan klien, tetapi tidak terkait dengan sumber daya atau penyewa. Klien dapat menggunakan token refresh untuk memperoleh token akses di semua kombinasi sumber daya dan penyewa di mana ia memiliki izin untuk melakukannya. Token refresh dienkripsi dan hanya platform identitas Microsoft yang dapat membacanya.
Masa pakai token
Token refresh memiliki masa pakai yang lebih lama dari pada token akses. Masa pakai default untuk token refresh adalah sebagai berikut:
- 24 jam untuk aplikasi satu halaman.
- 24 jam untuk aplikasi yang menggunakan alur autentikasi kode akses satu kali email.
- 90 hari untuk semua skenario lainnya.
Segarkan token menggantikan diri mereka sendiri dengan token baru setiap kali digunakan. Platform identitas Microsoft tidak mencabut token refresh lama saat digunakan untuk mengambil token akses baru. Hapus token refresh lama dengan aman setelah memperoleh token baru. Token refresh perlu disimpan dengan aman seperti token akses atau kredensial aplikasi.
Catatan
Token penyegaran yang dikirim ke URI pengalihan yang terdaftar sebagai spa akan kedaluwarsa setelah 24 jam. Token penyegaran tambahan yang diperoleh menggunakan token penyegaran awal mengikuti waktu kedaluwarsa yang sama tersebut, sehingga aplikasi harus siap untuk menjalankan kembali alur kode otorisasi menggunakan autentikasi interaktif untuk mendapatkan token penyegaran baru setiap kali habis masa 24 jam. Pengguna tidak perlu memasukkan informasi masuk mereka dan biasanya tidak perlu melihat pengalaman pengguna terkait, cukup memuat ulang aplikasi Anda. Browser harus mengunjungi halaman masuk dalam bingkai tingkat atas untuk menampilkan sesi masuk. Hal ini disebabkan oleh fitur privasi pada browser yang memblokir cookie pihak ketiga.
Kedaluwarsa token
Token refresh akan otomatis kedaluwarsa setelah periode seumur hidup berlalu. Selain itu, mereka dapat dicabut oleh layanan masuk pengguna kapan saja sebelum kedaluwarsa. Aplikasi Anda harus menangani pencabutan tersebut dengan anggun dengan mengalihkan pengguna ke permintaan masuk interaktif untuk mengautentikasi ulang dan mendapatkan token baru.
Pencabutan token
Server dapat mencabut token refresh karena perubahan kredensial, tindakan pengguna, atau tindakan admin. Token refresh termasuk dalam dua kelas: token yang dikeluarkan untuk klien rahasia (kolom paling kanan) dan yang dikeluarkan untuk klien publik (semua kolom lainnya).
| Ubah | Cookie berbasis kata sandi | Token berbasis kata sandi | Cookie yang tidak berbasis kata sandi | Token berbasis non-kata sandi | Token klien rahasia |
|---|---|---|---|---|---|
| Kata sandi kedaluwarsa | Tetap hidup | Tetap hidup | Tetap hidup | Tetap hidup | Tetap hidup |
| Kata sandi diubah oleh pengguna | Dicabut | Dicabut | Tetap hidup | Tetap hidup | Tetap hidup |
| Pengguna melakukan reset kata sandi mandiri (SSPR) | Dicabut | Dicabut | Tetap hidup | Tetap hidup | Tetap hidup |
| Admin mengatur ulang kata sandi (portal Microsoft Azure) | Dicabut | Dicabut | Tetap hidup | Tetap hidup | Tetap hidup |
| Admin mengatur ulang kata sandi (pusat admin Microsoft Entra) | Dicabut | Dicabut | Tetap hidup | Dicabut | Dicabut |
| Admin mengatur ulang kata sandi (pusat admin M365) | Dicabut | Dicabut | Tetap hidup | Dicabut | Dicabut |
| Pengguna mencabut token refresh mereka | Dicabut | Dicabut | Dicabut | Dicabut | Dicabut |
| Admin mencabut semua token refresh untuk pengguna | Dicabut | Dicabut | Dicabut | Dicabut | Dicabut |
| Keluar sekali | Dicabut | Tetap hidup | Dicabut | Tetap hidup | Tetap hidup |
Catatan
Refresh token tidak dicabut untuk pengguna B2B di tenant sumber daya mereka. Token perlu dicabut di tenant utama.