Refresh token di platform identitas Microsoft

Ketika klien memperoleh token akses untuk mengakses sumber daya yang dilindungi, klien juga menerima token refresh. Token refresh digunakan untuk mendapatkan akses baru dan pasangan token refresh saat token akses saat ini kedaluwarsa.

Token refresh juga digunakan untuk memperoleh token akses tambahan untuk sumber daya lain. Token refresh terikat ke kombinasi pengguna dan klien, tetapi tidak terkait dengan sumber daya atau penyewa. Klien dapat menggunakan token refresh untuk memperoleh token akses di semua kombinasi sumber daya dan penyewa di mana ia memiliki izin untuk melakukannya. Token refresh dienkripsi dan hanya platform identitas Microsoft yang dapat membacanya.

Masa pakai token

Token refresh memiliki masa pakai yang lebih lama dari pada token akses. Masa pakai default untuk token refresh adalah 24 jam untuk aplikasi halaman tunggal dan 90 hari untuk semua skenario lainnya. Segarkan token menggantikan diri mereka sendiri dengan token baru setiap kali digunakan. Platform identitas Microsoft tidak mencabut token refresh lama saat digunakan untuk mengambil token akses baru. Hapus token refresh lama dengan aman setelah memperoleh token baru. Token refresh perlu disimpan dengan aman seperti token akses atau kredensial aplikasi.

Penting

Segarkan token yang dikirim ke URI pengalihan yang terdaftar sebagai spa kedaluwarsa setelah 24 jam. Token penyegaran tambahan yang diperoleh menggunakan token penyegaran awal membawa selama waktu kedaluwarsa tersebut, sehingga aplikasi harus siap untuk menjalankan kembali alur kode otorisasi menggunakan autentikasi interaktif untuk mendapatkan token penyegaran baru setiap 24 jam. Pengguna tidak perlu memasukkan informasi masuk mereka dan biasanya tidak perlu melihat pengalaman pengguna terkait, cukup memuat ulang aplikasi Anda. Browser harus mengunjungi halaman masuk dalam bingkai tingkat atas untuk menampilkan sesi masuk. Hal ini disebabkan oleh fitur privasi pada browser yang memblokir cookie pihak ketiga.

Kedaluwarsa token

Token refresh dapat dicabut kapan saja, karena waktu habis dan pencabutan. Aplikasi Anda harus menangani pencabutan oleh layanan masuk dengan lancar dengan mengirim pengguna ke perintah masuk interaktif untuk masuk lagi.

Batas waktu token

Anda tidak dapat mengonfigurasi masa pakai token refresh. Anda tidak dapat mengurangi atau memperpanjang masa pakai token refresh. Konfigurasikan frekuensi masuk di Akses Bersyarat untuk menentukan periode waktu sebelum pengguna diharuskan masuk lagi. Untuk informasi selengkapnya, lihat Mengonfigurasi manajemen sesi autentikasi dengan Akses Bersyar.

Tidak semua token refresh mengikuti aturan yang ditetapkan dalam kebijakan seumur hidup token. Secara khusus, token refresh yang digunakan dalam aplikasi satu halaman selalu diperbaiki hingga 24 jam aktivitas, seolah-olah mereka memiliki MaxAgeSessionSingleFactor kebijakan 24 jam yang diterapkan padanya.

Pencabutan token

Server dapat mencabut token refresh karena perubahan kredensial, tindakan pengguna, atau tindakan admin. Token refresh termasuk dalam dua kelas: token yang dikeluarkan untuk klien rahasia (kolom paling kanan) dan yang dikeluarkan untuk klien publik (semua kolom lainnya).

Ubah Cookie berbasis kata sandi Token berbasis kata sandi Cookie berbasis non-kata sandi Token berbasis non-kata sandi Token klien rahasia
Kata sandi kedaluwarsa Tetap hidup Tetap hidup Tetap hidup Tetap hidup Tetap hidup
Kata sandi diubah oleh pengguna Dicabut Dicabut Tetap hidup Tetap hidup Tetap hidup
Pengguna melakukan SSPR Dicabut Dicabut Tetap hidup Tetap hidup Tetap hidup
Admin mereset kata sandi Dicabut Dicabut Tetap hidup Tetap hidup Tetap hidup
Pengguna mencabut token refresh mereka Dicabut Dicabut Dicabut Dicabut Dicabut
Admin mencabut semua token refresh untuk pengguna Dicabut Dicabut Dicabut Dicabut Dicabut
Single sign-out Dicabut Tetap hidup Dicabut Tetap hidup Tetap hidup

Lihat juga

Langkah berikutnya