重新整理 Microsoft 身分識別平台 中的令牌
當用戶端取得存取令牌以存取受保護的資源時,用戶端也會收到重新整理令牌。 當目前存取令牌到期時,重新整理令牌會用來取得新的存取權和重新整理令牌組。
重新整理令牌也可用來取得其他資源的額外存取令牌。 重新整理令牌系結至使用者和客戶端的組合,但不會系結至資源或租使用者。 用戶端可以使用重新整理令牌,在具有許可權的任意資源與租用戶組合之間取得存取令牌。 重新整理令牌會加密,而且只有 Microsoft 身分識別平台 可以讀取令牌。
權杖存留期
重新整理令牌的存留期比存取令牌長。 重新整理令牌的預設存留期是單頁應用程式 24 小時,而所有其他案例則為 90 天。 重新整理令牌會在每次使用時以全新的令牌取代自己。 Microsoft 身分識別平台 不會在用來擷取新存取令牌時撤銷舊的重新整理令牌。 取得新的重新整理令牌之後,安全地刪除舊的重新整理令牌。 重新整理令牌必須安全地儲存,例如存取令牌或應用程式認證。
注意
重新整理傳送至重新導向 URI 的令牌,註冊為 spa 24 小時後到期。 使用初始重新整理令牌取得的其他重新整理令牌會延續該到期時間,因此應用程式必須準備好使用互動式驗證重新執行授權碼流程,以每隔 24 小時取得新的重新整理令牌。 使用者不需要輸入其認證,而且通常甚至看不到任何相關的用戶體驗,只要重載您的應用程式。 瀏覽器必須流覽最上層框架中的登入頁面,才能顯示登入工作階段。 這是因為 瀏覽器的隱私權功能會封鎖第三方 Cookie。
權杖到期
重新整理令牌可以隨時撤銷,因為逾時和撤銷。 您的應用程式必須正常處理登入服務的撤銷,方法是將用戶傳送至互動式登入提示,以再次登入。
令牌逾時
您無法設定重新整理權杖的存留期。 您無法減少或延長其存留期。 因此,請務必確保您安全重新整理令牌,因為它們可由不良動作專案從公用位置擷取,或者如果裝置遭到入侵,則確實會從裝置本身擷取。 您可以執行下列幾件事:
- 在條件式存取中設定登入頻率,以定義使用者再次登入之前的時間週期。 如需詳細資訊,請參閱 使用條件式存取設定驗證會話管理。
- 使用 Microsoft Intune 應用程式管理服務 ,例如行動應用程式管理 (MAM) 和行動裝置管理 (MDM) 來保護貴組織的數據
- 實作 條件式存取令牌保護原則
並非所有重新整理令牌都遵循令牌存留期原則中設定的規則。 具體來說,單頁應用程式中使用的重新整理令牌一律固定為24小時的活動,就像已 MaxAgeSessionSingleFactor 套用24小時的原則一樣。
令牌撤銷
伺服器可能會因為認證、用戶動作或系統管理員動作的變更而撤銷重新整理令牌。 重新整理令牌分為兩個類別:發行給機密用戶端的令牌(最右邊的數據行),以及發行給公用用戶端的令牌(所有其他數據行)。
| 變更 | 密碼型 Cookie | 密碼型令牌 | 非密碼型 Cookie | 非密碼型令牌 | 機密用戶端令牌 |
|---|---|---|---|---|---|
| 密碼到期 | 保持運作 | 保持運作 | 保持運作 | 保持運作 | 保持運作 |
| 用戶變更的密碼 | 撤銷 | 撤銷 | 保持運作 | 保持運作 | 保持運作 |
| 用戶會執行 SSPR | 撤銷 | 撤銷 | 保持運作 | 保持運作 | 保持運作 |
| 管理員 重設密碼 | 撤銷 | 撤銷 | 保持運作 | 保持運作 | 保持運作 |
| 用戶撤銷其重新整理令牌 | 撤銷 | 撤銷 | 撤銷 | 撤銷 | 撤銷 |
| 管理員 撤銷使用者的所有重新整理令牌 | 撤銷 | 撤銷 | 撤銷 | 撤銷 | 撤銷 |
| 單一註銷 | 撤銷 | 保持運作 | 撤銷 | 保持運作 | 保持運作 |
注意
資源租使用者中的 B2B 使用者不會撤銷重新整理令牌。 令牌必須在主租用戶中撤銷。