Compartilhar via


Tokens de atualização na plataforma de identidade da Microsoft

Quando um cliente adquire um token de acesso para acessar um recurso protegido, ele recebe também um token de atualização. O token de atualização é usado para obter novos pares de tokens de acesso/atualização quando o token de acesso atual expira.

Os tokens de atualização também são usados para adquirir tokens de acesso extras para outros recursos. Os tokens de atualização são associados a uma combinação de usuário e cliente, mas não são vinculados a um recurso nem a um locatário. Um cliente pode usar um token de atualização para adquirir tokens de acesso em qualquer combinação de recurso e locatário em que tenha permissão para fazer isso. Os tokens de atualização são criptografados e somente a plataforma de identidade da Microsoft pode lê-los.

Tempo de vida do Token

Os tokens de atualização têm um tempo de vida significativamente maior do que os tokens de acesso. O tempo de vida padrão para os tokens de atualização é de 24 horas para aplicativos de página única e 90 dias para todos os outros cenários. Os tokens de atualização são substituídos por um token novo a cada uso. A plataforma de identidade da Microsoft não revoga tokens de atualização antigos quando eles são usados para busca de novos tokens de acesso. Exclua com segurança o token de atualização antigo depois de adquirir um novo. Os tokens de atualização precisam ser armazenados com segurança, como tokens de acesso ou credenciais de aplicativo.

Observação

Os tokens de atualização são enviados a um URI de redirecionamento registrado como spaexpiram após 24 horas. Os tokens de atualização adicionais adquiridos usando o token de atualização inicial são executados durante esse tempo de expiração, portanto, os aplicativos precisam estar preparados para executar o fluxo de código de autorização usando uma autenticação interativa para obter um novo token de atualização a cada 24 horas. Os usuários não precisam inserir as credenciais e, geralmente, nem mesmo veem experiências de usuário relacionadas, apenas uma solicitação para recarregar o aplicativo. O navegador precisa acessar a página de entrada em um quadro de nível superior para mostrar a sessão de logon. Isso ocorre devido a recursos de privacidade em navegadores que bloqueiam cookies de terceiros.

Expiração do token

Os tokens de atualização podem ser revogados a qualquer momento, devido a tempos limite e revogações. Seu aplicativo deve lidar com revogações pelo serviço de entrada normalmente enviando o usuário para um prompt de entrada interativo para entrar novamente.

Tempos limite de token

Não é possível configurar o tempo de vida de um token de atualização. Não é possível reduzir ou aumentar o tempo de vida dele. Portanto, é importante garantir a segurança dos tokens de atualização, já que podem ser extraídos de locais públicos por atores mal-intencionados, ou até mesmo do próprio dispositivo, se estiver comprometido. Existem algumas coisas que você pode fazer:

Nem todos os tokens de atualização seguem as regras definidas na política de tempo de vida do token. Especificamente, os tokens de atualização usados em aplicativos de página única são sempre limitados a 24 horas de atividade, como se tivessem uma política MaxAgeSessionSingleFactor de 24 horas aplicada a eles.

Revogação de token

O token de atualização foi revogado pelo servidor devido a uma alteração nas credenciais, a uma ação de uso ou a uma ação do administrador. Os tokens de atualização se enquadram em duas classes: aqueles emitidos para clientes confidenciais (a coluna mais à direita) e aqueles emitidos para clientes públicos (todas as outras colunas).

Alteração Cookie baseado em senha Token baseado em senha Cookie não baseado em senha Token não baseados em senha Token de cliente confidencial
A senha expira Permanece ativo Permanece ativo Permanece ativo Permanece ativo Permanece ativo
Senha alterada pelo usuário Revogado Revogado Permanece ativo Permanece ativo Permanece ativo
Usuário faz SSPR Revogado Revogado Permanece ativo Permanece ativo Permanece ativo
Administrador redefine senha Revogado Revogado Permanece ativo Permanece ativo Permanece ativo
O usuário revoga seus tokens de atualização Revogado Revogado Revogado Revogado Revogado
O administrador revoga todos os tokens de atualização do usuário Revogado Revogado Revogado Revogado Revogado
Logout único Revogado Permanece ativo Revogado Permanece ativo Permanece ativo

Observação

Os tokens de atualização não são revogados para usuários B2B em seu locatário de recursos. O token precisa ser revogado no locatário de origem.

Confira também