Refresh token di platform identitas Microsoft
Ketika klien memperoleh token akses untuk mengakses sumber daya yang dilindungi, klien juga menerima token refresh. Token refresh digunakan untuk mendapatkan akses baru dan pasangan token refresh saat token akses saat ini kedaluwarsa.
Token refresh juga digunakan untuk memperoleh token akses tambahan untuk sumber daya lain. Token refresh terikat ke kombinasi pengguna dan klien, tetapi tidak terkait dengan sumber daya atau penyewa. Klien dapat menggunakan token refresh untuk memperoleh token akses di semua kombinasi sumber daya dan penyewa di mana ia memiliki izin untuk melakukannya. Token refresh dienkripsi dan hanya platform identitas Microsoft yang dapat membacanya.
Masa pakai token
Token refresh memiliki masa pakai yang lebih lama dari pada token akses. Masa pakai default untuk token refresh adalah 24 jam untuk aplikasi halaman tunggal dan 90 hari untuk semua skenario lainnya. Segarkan token menggantikan diri mereka sendiri dengan token baru setiap kali digunakan. Platform identitas Microsoft tidak mencabut token refresh lama saat digunakan untuk mengambil token akses baru. Hapus token refresh lama dengan aman setelah memperoleh token baru. Token refresh perlu disimpan dengan aman seperti token akses atau kredensial aplikasi.
Catatan
Segarkan token yang dikirim ke URI pengalihan yang terdaftar sebagai spa kedaluwarsa setelah 24 jam. Token penyegaran tambahan yang diperoleh menggunakan token penyegaran awal membawa selama waktu kedaluwarsa tersebut, sehingga aplikasi harus siap untuk menjalankan kembali alur kode otorisasi menggunakan autentikasi interaktif untuk mendapatkan token penyegaran baru setiap 24 jam. Pengguna tidak perlu memasukkan informasi masuk mereka dan biasanya tidak perlu melihat pengalaman pengguna terkait, cukup memuat ulang aplikasi Anda. Browser harus mengunjungi halaman masuk dalam bingkai tingkat atas untuk menampilkan sesi masuk. Hal ini disebabkan oleh fitur privasi pada browser yang memblokir cookie pihak ketiga.
Kedaluwarsa token
Token refresh dapat dicabut kapan saja, karena waktu habis dan pencabutan. Aplikasi Anda harus menangani pencabutan oleh layanan masuk dengan lancar dengan mengirim pengguna ke perintah masuk interaktif untuk masuk lagi.
Batas waktu token
Anda tidak dapat mengonfigurasi masa pakai token refresh. Anda tidak dapat mengurangi atau memperpanjang masa pakai token refresh. Oleh karena itu, penting untuk memastikan bahwa Anda mengamankan token refresh, karena dapat diekstraksi dari lokasi publik oleh pelaku jahat, atau memang dari perangkat itu sendiri jika perangkat disusupi. Ada beberapa hal yang dapat Anda lakukan:
- Konfigurasikan frekuensi masuk di Akses Bersyarat untuk menentukan periode waktu sebelum pengguna diharuskan masuk lagi. Untuk informasi selengkapnya, lihat Mengonfigurasi manajemen sesi autentikasi dengan Akses Bersyar.
- Menggunakan layanan manajemen aplikasi Microsoft Intune seperti manajemen aplikasi seluler (MAM) dan manajemen perangkat seluler (MDM) untuk melindungi data organisasi Anda
- Menerapkan kebijakan perlindungan token Akses Bersyar
Tidak semua token refresh mengikuti aturan yang ditetapkan dalam kebijakan seumur hidup token. Secara khusus, token refresh yang digunakan dalam aplikasi satu halaman selalu diperbaiki hingga 24 jam aktivitas, seolah-olah mereka memiliki MaxAgeSessionSingleFactor kebijakan 24 jam yang diterapkan padanya.
Pencabutan token
Server dapat mencabut token refresh karena perubahan kredensial, tindakan pengguna, atau tindakan admin. Token refresh termasuk dalam dua kelas: token yang dikeluarkan untuk klien rahasia (kolom paling kanan) dan yang dikeluarkan untuk klien publik (semua kolom lainnya).
| Ubah | Cookie berbasis kata sandi | Token berbasis kata sandi | Cookie berbasis non-kata sandi | Token berbasis non-kata sandi | Token klien rahasia |
|---|---|---|---|---|---|
| Kata sandi kedaluwarsa | Tetap hidup | Tetap hidup | Tetap hidup | Tetap hidup | Tetap hidup |
| Kata sandi diubah oleh pengguna | Dicabut | Dicabut | Tetap hidup | Tetap hidup | Tetap hidup |
| Pengguna melakukan SSPR | Dicabut | Dicabut | Tetap hidup | Tetap hidup | Tetap hidup |
| Admin mereset kata sandi | Dicabut | Dicabut | Tetap hidup | Tetap hidup | Tetap hidup |
| Pengguna mencabut token refresh mereka | Dicabut | Dicabut | Dicabut | Dicabut | Dicabut |
| Admin mencabut semua token refresh untuk pengguna | Dicabut | Dicabut | Dicabut | Dicabut | Dicabut |
| Single sign-out | Dicabut | Tetap hidup | Dicabut | Tetap hidup | Tetap hidup |
Catatan
Token refresh tidak dicabut untuk pengguna B2B di penyewa sumber daya mereka. Token perlu dicabut di penyewa rumah.