Microsoft 身分識別平台中的重新整理權杖
目前存取權杖到期時,重新整理權杖會用來取得新的存取權和重新整理權杖配對。 當用戶端取得存取權杖來存取受保護的資源時,用戶端會也會收到重新整理權杖。
重新整理權杖也可用來取得其他資源之額外存取權杖。 重新整理權杖會繫結使用者與用戶端組合,但不會繫結資源或租用戶。 使用者端可以使用重新整理權杖,在具有權限的任意資源與租用戶組合之間取得存取權杖。 重新整理權杖會經過加密,且只有 Microsoft 身分識別平台可以讀取它們。
權杖存留期
重新整理權杖與存取權杖相比,有更長的存留期。 重新整理權杖的預設存留期是單頁應用程式 24 小時,而所有其他案例則為 90 天。 重新整理權杖在每次使用時,都會以新的權杖取代自身。 當用來擷取新的存取權杖時,Microsoft 身分識別平台不會撤銷舊的重新整理權杖。 取得新的重新整理權杖之後,請將其安全刪除。 重新整理權杖需要安全儲存,例如存取權杖或應用程式認證。
注意
傳送至登錄為 spa 的重新導向 URI 後,重新整理權杖會在 24 小時後到期。 使用初始重新整理權杖取得的其他重新整理權杖,會延用到期時間,所以若要每 24 小時取得新的重新整理權杖,應用程式必須準備使用互動式驗證,重新執行授權碼流程。 使用者不必輸入認證 (通常甚至看不到任何相關使用者體驗),只須重新載入應用程式。 瀏覽器必須瀏覽最上層框架中的登入頁面,才能顯示登入工作階段。 這是因為瀏覽器的隱私權功能封鎖第三方 Cookie。
權杖到期
重新整理權杖可能會因為逾時和撤銷而隨時遭撤銷。 您的應用程式必須正常處理登入服務的撤銷,方法是將使用者傳送至互動式登入提示,以便再次登入。
權杖逾時
您無法設定重新整理權杖之存留期。 您無法縮減或延長其存留期。 因此,請務必確保您以安全方式重新整理權杖,因為權杖可由不良執行者從公用位置擷取;要是裝置遭入侵,則確實會從裝置本身擷取。 您可以執行下列幾件事:
- 在條件式存取中設定登入頻率,以定義使用者必須重新登入之前的時間週期。 如需詳細資訊,請參閱使用條件式存取設定驗證工作階段管理。
- 使用 Microsoft Intune 應用程式管理服務,例如行動應用程式管理 (MAM) 和行動裝置管理 (MDM) 來保護您組織的資料
- 實作條件式存取權杖保護原則
並非所有重新整理權杖都遵循權杖存留期原則所設定之原則。 具體而言,單頁應用程式中使用的重新整理權杖一律固定為 24 小時的活動,就像套用 24 小時 MaxAgeSessionSingleFactor 原則一樣。
權杖撤銷
伺服器可能會因認證、使用者動作或系統管理員動作變更而撤銷重新整理權杖。 重新整理權杖可分為兩個類別:簽發給機密用戶端之類別 (最右側的資料行),以及簽發給公用用戶端之類別 (所有其他資料行)。
| 變更 | 密碼型 Cookie | 密碼型權杖 | 非密碼型 Cookie | 非密碼型權杖 | 機密用戶端權杖 |
|---|---|---|---|---|---|
| 密碼到期 | 保持運作 | 保持運作 | 保持運作 | 保持運作 | 保持運作 |
| 使用者已變更密碼 | 撤銷 | 撤銷 | 保持運作 | 保持運作 | 保持運作 |
| 使用者進行 SSPR | 撤銷 | 撤銷 | 保持運作 | 保持運作 | 保持運作 |
| 管理員重設密碼 | 撤銷 | 撤銷 | 保持運作 | 保持運作 | 保持運作 |
| 使用者撤銷其重新整理權杖 | 撤銷 | 撤銷 | 撤銷 | 撤銷 | 撤銷 |
| 系統管理員撤銷使用者的所有重新整理權杖 | 撤銷 | 撤銷 | 撤銷 | 撤銷 | 撤銷 |
| 單一登出 | 撤銷 | 保持運作 | 撤銷 | 保持運作 | 保持運作 |
注意
資源租用戶中的 B2B 使用者不會撤銷重新整理權杖。 權杖必須在主租用戶中撤銷。