目前存取權杖到期時,重新整理權杖會用來取得新的存取權和重新整理權杖配對。 當用戶端取得存取權杖以存取受保護的資源時,也會收到更新權杖。
更新令牌也可用來為其他資源獲取額外的訪問令牌。 重新整理權杖會綁定使用者與客戶端的組合,但不會綁定資源或租戶。 用戶端可以使用重新整理權杖,在具備權限的任意資源和租用戶的任意組合中取得存取權杖。 重新整理權杖會經過加密,且只有 Microsoft 身分識別平台可以讀取它們。
令牌存留期
刷新令牌的存留期比存取令牌更長。 重新整理令牌的預設存活時間是單頁應用程式為 24 小時,而所有其他情境為 90 天。 刷新令牌在每次使用時,都會以新的令牌取代自身。 當用於取得新的存取權杖時,Microsoft 身分識別平台不會撤銷舊的重新整理憑證。 取得新的重新整理權杖之後,請安全刪除舊的權杖。 更新權杖需要像存取權杖或應用程式認證一樣安全地儲存。
注意
傳送至登錄為 spa 的重新導向 URI 後,重新整理權杖會在 24 小時後到期。 使用初始重新整理權杖取得的其他重新整理權杖,會延用到期時間,所以若要每 24 小時取得新的重新整理權杖,應用程式必須準備使用互動式驗證,重新執行授權碼流程。 使用者不必輸入認證 (通常甚至看不到任何相關使用者體驗),只須重新載入應用程式。 瀏覽器必須在最上層框架中訪問登入頁面,才能顯示登入會話。 這是因為瀏覽器的隱私權功能封鎖第三方 Cookie。
令牌到期
重新整理令牌會在存留期過後自動到期。 此外,登入服務可以在到期前隨時撤銷它們。 您的應用程式應該正常處理這類撤銷,方法是將使用者重新導向至互動式登入提示,以重新驗證並取得新的令牌。
權杖撤銷
伺服器可能會因認證資料的變更、使用者的操作或系統管理員的操作而撤銷重新整理權杖。 刷新權杖可分為兩個類別:一種是簽發給機密用戶端(最右側的資料行),另一種是簽發給公用用戶端(所有其他資料行)。
| 變更 | 基於密碼的 Cookie | 密碼型令牌 | 非密碼型 Cookie | 非密碼型憑證 | 機密用戶端權杖 |
|---|---|---|---|---|---|
| 密碼到期 | 繼續生存 | 保持運作 | 保持生存 | 保持存活 | 繼續生存 |
| 使用者已變更密碼 | 撤銷 | 撤銷 | 保持活著 | 保持存活 | 保持存活 |
| 使用者進行自助密碼重設 (SSPR) | 撤銷 | 撤銷 | 保持運作 | 保持運作 | 保持運作 |
| 管理員重設密碼 | 撤銷 | 撤銷 | 保持運作 | 維持生命 | 保持活著 |
| 使用者撤銷其重新整理權杖 | 撤銷 | 撤銷 | 撤銷 | 撤銷 | 撤銷 |
| 系統管理員撤銷使用者的所有重新整理憑證 | 撤銷 | 撤銷 | 撤銷 | 撤銷 | 撤銷 |
| 單一登出 | 撤銷 | 保持生命 | 撤銷 | 保持活著 | 保持生存 |
注意
資源租戶中的 B2B 使用者不會撤銷重新整理令牌。 令牌必須在家用租戶中撤銷。