Microsoft ID 플랫폼의 새로 고침 토큰
클라이언트가 보호된 리소스에 액세스하기 위해 액세스 토큰을 획득할 때 새로 고침 토큰도 받습니다. 새로 고침 토큰은 현재 액세스 토큰이 만료된 경우 새 액세스 및 새로 고침 토큰 쌍을 가져오는 데 사용됩니다.
새로 고침 토큰은 다른 리소스에 대한 추가 액세스 토큰을 얻는 데에도 사용됩니다. 새로 고침 토큰은 사용자와 클라이언트의 조합에 바인딩되며 리소스나 테넌트에 연결되지 않습니다. 클라이언트는 새로 고침 토큰을 사용하여 권한이 있는 리소스와 테넌트의 조합에서 액세스 토큰을 얻을 수 있습니다. 새로 고침 토큰은 암호화되며 Microsoft ID 플랫폼에서만 읽을 수 있습니다.
토큰 수명
새로 고침 토큰은 액세스 토큰보다 수명이 더 깁니다. 새로 고침 토큰의 기본 수명은 단일 페이지 앱의 경우 24시간, 다른 모든 시나리오에서는 90일입니다. 새로 고침 토큰은 사용할 때마다 새 토큰으로 자동 대체됩니다. Microsoft ID 플랫폼은 새 액세스 토큰을 가져오는 데 사용되는 경우 이전의 새로 고침 토큰을 취소하지 않습니다. 새 토큰을 획득한 후 이전의 새로 고침 토큰을 안전하게 삭제하세요. 새로 고침 토큰은 액세스 토큰이나 애플리케이션 자격 증명처럼 안전하게 저장해야 합니다.
참고 항목
spa로 등록된 리디렉션 URI로 전송되는 새로 고침 토큰은 24시간 후에 만료됩니다. 초기 새로 고침 토큰을 사용하여 획득한 추가 새로 고침 토큰은 해당 만료 시간까지 계속 사용되므로 앱은 대화형 인증을 사용하여 인증 코드 흐름을 다시 실행함으로써 24시간마다 새 새로 고침 토큰을 가져올 수 있도록 준비해야 합니다. 사용자는 자격 증명을 입력할 필요가 없으며 일반적으로 애플리케이션을 다시 로드하는 관련 사용자 환경도 볼 수 없습니다. 로그인 세션을 표시하려면 브라우저가 최상위 프레임의 로그인 페이지를 방문해야 합니다. 이는 타사 쿠키를 차단하는 브라우저의 개인 정보 보호 기능 때문입니다.
토큰 만료
새로 고침 토큰은 시간 제한과 해지를 사유로 언제든지 취소할 수 있습니다. 앱은 사용자에게 다시 로그인하라는 대화형 로그인 프롬프트를 보내 로그인 서비스에 의한 해지를 적절하게 처리해야 합니다.
토큰 제한 시간
새로 고침 토큰의 수명은 구성할 수 없습니다. 수명을 줄이거나 늘릴 수 없습니다. 따라서 잘못된 행위자가 공용 위치에서 추출하거나 디바이스가 손상된 경우 실제로 디바이스 자체에서 추출할 수 있으므로 새로 고침 토큰을 보호해야 합니다. 수행할 수 있는 몇 가지 작업은 다음과 같습니다.
- 사용자가 다시 로그인해야 하기까지의 기간을 정의하려면 조건부 액세스에서 로그인 빈도를 구성합니다. 자세한 내용은 조건부 액세스로 인증 세션 관리 구성을 참조하세요.
- MAM(모바일 애플리케이션 관리) 및 MDM(모바일 디바이스 관리)과 같은 Microsoft Intune 앱 관리 서비스를 사용하여 조직의 데이터를 보호합니다.
- 조건부 액세스 토큰 보호 정책 구현
모든 새로 고침 토큰은 토큰 수명 정책에 설정된 규칙을 따릅니다. 특히, 단일 페이지 앱에 사용되는 새로 고침 토큰은 마치 24시간의 MaxAgeSessionSingleFactor 정책이 적용된 것과 같이 항상 24시간의 활동으로 고정됩니다.
토큰 해지
자격 증명, 사용자 작업 또는 관리자 작업의 변경으로 인해 서버가 새로 고침 토큰을 철회할 수 있습니다. 새로 고침 토큰은 기밀 클라이언트가 발급한 토큰(가장 오른쪽 열)과 공용 클라이언트가 발급한 토큰(다른 모든 열)의 두 클래스에 속합니다.
| 변경 | 암호 기반 쿠키 | 암호 기반 토큰 | 비암호 기반 쿠키 | 비암호 기반 토큰 | 기밀 클라이언트 토큰 |
|---|---|---|---|---|---|
| 암호 만료 | 활성 상태 | 활성 상태 | 활성 상태 | 활성 상태 | 활성 상태 |
| 사용자에 의해 암호가 변경됨 | Revoked | Revoked | 활성 상태 | 활성 상태 | 활성 상태 |
| 사용자가 SSPR 수행 | Revoked | Revoked | 활성 상태 | 활성 상태 | 활성 상태 |
| 관리자가 암호 재설정 | Revoked | Revoked | 활성 상태 | 활성 상태 | 활성 상태 |
| 사용자가 새로 고침 토큰을 철회합니다. | Revoked | Revoked | Revoked | Revoked | Revoked |
| 관리자가 사용자의 모든 새로 고침 토큰을 철회합니다. | Revoked | Revoked | Revoked | Revoked | Revoked |
| Single Sign-Out | Revoked | 활성 상태 | Revoked | 활성 상태 | 활성 상태 |
참고 항목
리소스 테넌트에서 B2B 사용자에 대해 새로 고침 토큰이 해지되지 않습니다. 토큰은 홈 테넌트에서 해지되어야 합니다.