Tokens de atualização na plataforma de identidade da Microsoft
Quando um cliente adquire um token de acesso para acessar um recurso protegido, ele recebe também um token de atualização. O token de atualização é usado para obter novos pares de tokens de acesso/atualização quando o token de acesso atual expira.
Os tokens de atualização também são usados para adquirir tokens de acesso extras para outros recursos. Os tokens de atualização são associados a uma combinação de usuário e cliente, mas não são vinculados a um recurso nem a um locatário. Um cliente pode usar um token de atualização para adquirir tokens de acesso em qualquer combinação de recurso e locatário em que tenha permissão para fazer isso. Os tokens de atualização são criptografados e somente a plataforma de identidade da Microsoft pode lê-los.
Tempo de vida do Token
Os tokens de atualização têm um tempo de vida significativamente maior do que os tokens de acesso. O tempo de vida padrão para os tokens de atualização é de 24 horas para aplicativos de página única e 90 dias para todos os outros cenários. Os tokens de atualização são substituídos por um token novo a cada uso. A plataforma de identidade da Microsoft não revoga tokens de atualização antigos quando eles são usados para busca de novos tokens de acesso. Exclua com segurança o token de atualização antigo depois de adquirir um novo. Os tokens de atualização precisam ser armazenados com segurança, como tokens de acesso ou credenciais de aplicativo.
Observação
Os tokens de atualização são enviados a um URI de redirecionamento registrado como spaexpiram após 24 horas. Os tokens de atualização adicionais adquiridos usando o token de atualização inicial são executados durante esse tempo de expiração, portanto, os aplicativos precisam estar preparados para executar o fluxo de código de autorização usando uma autenticação interativa para obter um novo token de atualização a cada 24 horas. Os usuários não precisam inserir as credenciais e, geralmente, nem mesmo veem experiências de usuário relacionadas, apenas uma solicitação para recarregar o aplicativo. O navegador precisa acessar a página de entrada em um quadro de nível superior para mostrar a sessão de logon. Isso ocorre devido a recursos de privacidade em navegadores que bloqueiam cookies de terceiros.
Expiração do token
Os tokens de atualização podem ser revogados a qualquer momento, devido a tempos limite e revogações. Seu aplicativo deve lidar com revogações pelo serviço de entrada normalmente enviando o usuário para um prompt de entrada interativo para entrar novamente.
Tempos limite de token
Não é possível configurar o tempo de vida de um token de atualização. Não é possível reduzir ou aumentar o tempo de vida dele. Portanto, é importante garantir a segurança dos tokens de atualização, já que podem ser extraídos de locais públicos por atores mal-intencionados, ou até mesmo do próprio dispositivo, se estiver comprometido. Existem algumas coisas que você pode fazer:
- Configure a frequência de conexão no Acesso Condicional para definir o período após o qual um usuário é solicitado a entrar novamente. Para saber mais, consulte Configurando o gerenciamento da sessão de autenticação com Acesso condicional.
- Use os serviços de gerenciamento de aplicativos do Microsoft Intune, tais como o gerenciamento de aplicativo móvel (MAM) e a gerenciamento de dispositivo móvel (MDM), para proteger os dados da sua organização
- Implemente uma Política de proteção de token de acesso condicional
Nem todos os tokens de atualização seguem as regras definidas na política de tempo de vida do token. Especificamente, os tokens de atualização usados em aplicativos de página única são sempre limitados a 24 horas de atividade, como se tivessem uma política MaxAgeSessionSingleFactor de 24 horas aplicada a eles.
Revogação de token
O token de atualização foi revogado pelo servidor devido a uma alteração nas credenciais, a uma ação de uso ou a uma ação do administrador. Os tokens de atualização se enquadram em duas classes: aqueles emitidos para clientes confidenciais (a coluna mais à direita) e aqueles emitidos para clientes públicos (todas as outras colunas).
| Alteração | Cookie baseado em senha | Token baseado em senha | Cookie não baseado em senha | Token não baseados em senha | Token de cliente confidencial |
|---|---|---|---|---|---|
| A senha expira | Permanece ativo | Permanece ativo | Permanece ativo | Permanece ativo | Permanece ativo |
| Senha alterada pelo usuário | Revogado | Revogado | Permanece ativo | Permanece ativo | Permanece ativo |
| Usuário faz SSPR | Revogado | Revogado | Permanece ativo | Permanece ativo | Permanece ativo |
| Administrador redefine senha | Revogado | Revogado | Permanece ativo | Permanece ativo | Permanece ativo |
| O usuário revoga seus tokens de atualização | Revogado | Revogado | Revogado | Revogado | Revogado |
| O administrador revoga todos os tokens de atualização do usuário | Revogado | Revogado | Revogado | Revogado | Revogado |
| Logout único | Revogado | Permanece ativo | Revogado | Permanece ativo | Permanece ativo |
Observação
Os tokens de atualização não são revogados para usuários B2B em seu locatário de recursos. O token precisa ser revogado no locatário de origem.