Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Token odświeżania służy do uzyskiwania nowych par tokenów dostępu i odświeżania po wygaśnięciu bieżącego tokenu dostępu. Gdy klient uzyskuje token dostępu w celu uzyskania dostępu do chronionego zasobu, klient otrzymuje również token odświeżania.
Tokeny odświeżania są również używane do uzyskiwania dodatkowych tokenów dostępu dla innych zasobów. Tokeny odświeżania są powiązane z konfiguracją użytkownika i klienta, ale nie są związane z żadnym zasobem ani dzierżawcą. Klient może użyć tokenu odświeżenia, aby uzyskać tokeny dostępu w dowolnej kombinacji zasobów i dzierżawców, gdzie ma do tego uprawnienia. Tokeny odświeżania są szyfrowane i tylko platforma tożsamości Microsoftu może je odczytywać.
Okres istnienia tokenu
Tokeny odświeżania mają dłuższy okres istnienia niż tokeny dostępu. Domyślny okres istnienia tokenów odświeżania to 24 godziny dla aplikacji jednostronicowych i 90 dni dla wszystkich innych scenariuszy. Tokeny odświeżające zastępują się nowym tokenem przy każdym użyciu. Platforma tożsamości Microsoft nie odwołuje starych tokenów odświeżania podczas pobierania nowych tokenów dostępu. Bezpiecznie usuń stary token odświeżania po uzyskaniu nowego tokenu. Tokeny odświeżania muszą być bezpiecznie przechowywane, takie jak tokeny dostępu lub poświadczenia aplikacji.
Uwaga
Tokeny odświeżania wysyłane do identyfikatora URI przekierowania zarejestrowanego jako spa wygasają po 24 godzinach. Dodatkowe tokeny odświeżania uzyskane przy użyciu początkowego tokenu zachowują czas jego wygaśnięcia, dlatego aplikacje muszą być przygotowane do ponownego uruchomienia przepływu autoryzacji przy użyciu interaktywnego uwierzytelniania, aby uzyskać nowy token odświeżania co 24 godziny. Użytkownicy nie muszą wprowadzać swoich poświadczeń i zwykle nawet nie widzą żadnego powiązanego interfejsu użytkownika, tylko ponownie załadowanie aplikacji. Aby wyświetlić sesję logowania, przeglądarka musi odwiedzić stronę logowania w ramce najwyższego poziomu. Jest to spowodowane funkcjami prywatności w przeglądarkach, które blokują pliki cookie innych firm.
Wygaśnięcie tokenu
Tokeny odświeżania będą automatycznie wygasać po upływie okresu istnienia. Ponadto można je odwołać przez usługę logowania w dowolnym momencie przed wygaśnięciem. Aplikacja powinna bezpiecznie obsługiwać takie odwołania, przekierowując użytkownika do interakcyjnego monitu logowania w celu ponownego uwierzytelnienia i uzyskania nowego tokenu.
Odwołanie tokenu
Serwer może odwołać tokeny odświeżania z powodu zmiany poświadczeń, akcji użytkownika lub akcji administratora. Tokeny odświeżania dzielą się na dwie klasy: tokeny wystawione dla poufnych klientów (kolumna po prawej stronie) i tokeny wystawione dla klientów publicznych (wszystkie inne kolumny).
| Zmień | Plik cookie oparty na hasłach | Token oparty na hasłach | Plik cookie nie oparty na hasłach | Token nie oparty na hasłach | Poufny token klienta |
|---|---|---|---|---|---|
| Hasło wygasa | Pozostaje przy życiu | Pozostaje przy życiu | Pozostaje przy życiu | Pozostaje przy życiu | Pozostaje przy życiu |
| Hasło zmienione przez użytkownika | Odwołany | Odwołany | Pozostaje przy życiu | Pozostaje przy życiu | Pozostaje przy życiu |
| Użytkownik wykonuje samoobsługowe resetowanie hasła | Odwołany | Odwołany | Pozostaje przy życiu | Pozostaje przy życiu | Pozostaje przy życiu |
| Resetowanie hasła przez administratora (portal Azure) | Odwołany | Odwołany | Pozostaje przy życiu | Pozostaje przy życiu | Pozostaje przy życiu |
| Administrator resetuje hasło (centrum administracyjne Microsoft Entra) | Odwołany | Odwołany | Pozostaje przy życiu | Odwołany | Odwołany |
| Administrator resetuje hasło (centrum administracyjne usługi M365) | Odwołany | Odwołany | Pozostaje przy życiu | Odwołany | Odwołany |
| Użytkownik odwołuje swoje tokeny odświeżania | Odwołany | Odwołany | Odwołany | Odwołany | Odwołany |
| Administrator odwołuje wszystkie tokeny odświeżania dla użytkownika | Odwołany | Odwołany | Odwołany | Odwołany | Odwołany |
| Wylogowanie jednokrotne | Odwołany | Pozostaje przy życiu | Odwołany | Pozostaje przy życiu | Pozostaje przy życiu |
Uwaga
Tokeny odświeżania nie są odwoływane dla użytkowników B2B w ich dzierżawie zasobów. Token należy odwołać w dzierżawie głównej.