Udostępnij za pośrednictwem


Odświeżanie tokenów w Platforma tożsamości Microsoft

Gdy klient uzyskuje token dostępu w celu uzyskania dostępu do chronionego zasobu, klient otrzymuje również token odświeżania. Token odświeżania służy do uzyskiwania nowych par tokenów dostępu i odświeżania po wygaśnięciu bieżącego tokenu dostępu.

Tokeny odświeżania są również używane do uzyskiwania dodatkowych tokenów dostępu dla innych zasobów. Tokeny odświeżania są powiązane z kombinacją użytkownika i klienta, ale nie są powiązane z zasobem ani dzierżawą. Klient może użyć tokenu odświeżania, aby uzyskać tokeny dostępu w dowolnej kombinacji zasobów i dzierżawy, w której ma uprawnienia do tego. Tokeny odświeżania są szyfrowane i tylko Platforma tożsamości Microsoft mogą je odczytywać.

Okres istnienia tokenu

Tokeny odświeżania mają dłuższy okres istnienia niż tokeny dostępu. Domyślny okres istnienia tokenów odświeżania to 24 godziny dla aplikacji jednostronicowych i 90 dni dla wszystkich innych scenariuszy. Odświeżanie tokenów zastępuje się nowym tokenem podczas każdego użycia. Platforma tożsamości Microsoft nie odwołuje starych tokenów odświeżania podczas pobierania nowych tokenów dostępu. Bezpiecznie usuń stary token odświeżania po uzyskaniu nowego tokenu. Tokeny odświeżania muszą być bezpiecznie przechowywane, takie jak tokeny dostępu lub poświadczenia aplikacji.

Uwaga

Odśwież tokeny wysyłane do identyfikatora URI przekierowania zarejestrowanego jako spa wygasają po 24 godzinach. Dodatkowe tokeny odświeżania uzyskane przy użyciu początkowego tokenu odświeżania są przenoszone przez ten czas wygaśnięcia, dlatego aplikacje muszą być przygotowane do ponownego uruchomienia przepływu kodu autoryzacji przy użyciu uwierzytelniania interakcyjnego, aby uzyskać nowy token odświeżania co 24 godziny. Użytkownicy nie muszą wprowadzać swoich poświadczeń i zwykle nawet nie widzą żadnego powiązanego środowiska użytkownika— wystarczy ponownie załadować aplikację. Aby wyświetlić sesję logowania, przeglądarka musi odwiedzić stronę logowania w ramce najwyższego poziomu. Jest to spowodowane funkcjami prywatności w przeglądarkach, które blokują pliki cookie innych firm.

Wygaśnięcie tokenu

Tokeny odświeżania można odwołać w dowolnym momencie z powodu przekroczenia limitu czasu i odwołania. Aplikacja musi bezpiecznie obsługiwać odwołania przez usługę logowania, wysyłając użytkownika do interakcyjnego monitu logowania, aby zalogować się ponownie.

Limity czasu tokenu

Nie można skonfigurować okresu istnienia tokenu odświeżania. Nie można zmniejszyć ani wydłużyć ich okresu istnienia. Dlatego ważne jest, aby zapewnić bezpieczeństwo tokenów odświeżania, ponieważ można je wyodrębnić z lokalizacji publicznych przez złych aktorów, a nawet z samego urządzenia, jeśli urządzenie zostanie naruszone. Istnieje kilka czynności, które można wykonać:

Nie wszystkie tokeny odświeżania są zgodne z regułami ustawionymi w zasadach okresu istnienia tokenu. W szczególności tokeny odświeżania używane w aplikacjach jednostronicowych są zawsze stałe do 24 godzin aktywności, tak jakby zasady były MaxAgeSessionSingleFactor stosowane do nich przez 24 godziny.

Odwołanie tokenu

Serwer może odwołać tokeny odświeżania z powodu zmiany poświadczeń, akcji użytkownika lub akcji administratora. Tokeny odświeżania dzielą się na dwie klasy: tokeny wystawione dla poufnych klientów (kolumna po prawej stronie) i tokeny wystawione dla klientów publicznych (wszystkie inne kolumny).

Zmień Plik cookie oparty na hasłach Token oparty na hasłach Plik cookie nie oparty na hasłach Token nie oparty na hasłach Poufny token klienta
Hasło wygasa Pozostaje przy życiu Pozostaje przy życiu Pozostaje przy życiu Pozostaje przy życiu Pozostaje przy życiu
Hasło zmienione przez użytkownika Odwołany Odwołany Pozostaje przy życiu Pozostaje przy życiu Pozostaje przy życiu
Użytkownik wykonuje samoobsługowe resetowanie hasła Odwołany Odwołany Pozostaje przy życiu Pozostaje przy życiu Pozostaje przy życiu
Administracja resetuje hasło Odwołany Odwołany Pozostaje przy życiu Pozostaje przy życiu Pozostaje przy życiu
Użytkownik odwołuje swoje tokeny odświeżania Odwołany Odwołany Odwołany Odwołany Odwołany
Administracja odwołuje wszystkie tokeny odświeżania dla użytkownika Odwołany Odwołany Odwołany Odwołany Odwołany
Wylogowanie jednokrotne Odwołany Pozostaje przy życiu Odwołany Pozostaje przy życiu Pozostaje przy życiu

Uwaga

Tokeny odświeżania nie są odwoływały się dla użytkowników B2B w dzierżawie zasobów. Token należy odwołać w dzierżawie głównej.

Zobacz też