分享方式:


Microsoft 身分識別平台中的重新整理權杖

目前存取權杖到期時,重新整理權杖會用來取得新的存取權和重新整理權杖配對。 當用戶端取得存取權杖來存取受保護的資源時,用戶端會也會收到重新整理權杖。

重新整理權杖也可用來取得其他資源之額外存取權杖。 重新整理權杖會繫結使用者與用戶端組合,但不會繫結資源或租用戶。 使用者端可以使用重新整理權杖,在具有權限的任意資源與租用戶組合之間取得存取權杖。 重新整理權杖會經過加密,且只有 Microsoft 身分識別平台可以讀取它們。

權杖存留期

重新整理權杖與存取權杖相比,有更長的存留期。 重新整理權杖的預設存留期是單頁應用程式 24 小時,而所有其他案例則為 90 天。 重新整理權杖在每次使用時,都會以新的權杖取代自身。 當用來擷取新的存取權杖時,Microsoft 身分識別平台不會撤銷舊的重新整理權杖。 取得新的重新整理權杖之後,請將其安全刪除。 重新整理權杖需要安全儲存,例如存取權杖或應用程式認證。

注意

傳送至登錄為 spa 的重新導向 URI 後,重新整理權杖會在 24 小時後到期。 使用初始重新整理權杖取得的其他重新整理權杖,會延用到期時間,所以若要每 24 小時取得新的重新整理權杖,應用程式必須準備使用互動式驗證,重新執行授權碼流程。 使用者不必輸入認證 (通常甚至看不到任何相關使用者體驗),只須重新載入應用程式。 瀏覽器必須瀏覽最上層框架中的登入頁面,才能顯示登入工作階段。 這是因為瀏覽器的隱私權功能封鎖第三方 Cookie。

權杖到期

重新整理權杖可能會因為逾時和撤銷而隨時遭撤銷。 您的應用程式必須正常處理登入服務的撤銷,方法是將使用者傳送至互動式登入提示,以便再次登入。

權杖逾時

您無法設定重新整理權杖之存留期。 您無法縮減或延長其存留期。 因此,請務必確保您以安全方式重新整理權杖,因為權杖可由不良執行者從公用位置擷取;要是裝置遭入侵,則確實會從裝置本身擷取。 您可以執行下列幾件事:

並非所有重新整理權杖都遵循權杖存留期原則所設定之原則。 具體而言,單頁應用程式中使用的重新整理權杖一律固定為 24 小時的活動,就像套用 24 小時 MaxAgeSessionSingleFactor 原則一樣。

權杖撤銷

伺服器可能會因認證、使用者動作或系統管理員動作變更而撤銷重新整理權杖。 重新整理權杖可分為兩個類別:簽發給機密用戶端之類別 (最右側的資料行),以及簽發給公用用戶端之類別 (所有其他資料行)。

變更 密碼型 Cookie 密碼型權杖 非密碼型 Cookie 非密碼型權杖 機密用戶端權杖
密碼到期 保持運作 保持運作 保持運作 保持運作 保持運作
使用者已變更密碼 撤銷 撤銷 保持運作 保持運作 保持運作
使用者進行 SSPR 撤銷 撤銷 保持運作 保持運作 保持運作
管理員重設密碼 撤銷 撤銷 保持運作 保持運作 保持運作
使用者撤銷其重新整理權杖 撤銷 撤銷 撤銷 撤銷 撤銷
系統管理員撤銷使用者的所有重新整理權杖 撤銷 撤銷 撤銷 撤銷 撤銷
單一登出 撤銷 保持運作 撤銷 保持運作 保持運作

注意

資源租用戶中的 B2B 使用者不會撤銷重新整理權杖。 權杖必須在主租用戶中撤銷。