Token refresh platform identitas Microsoft

Ketika klien memperoleh token akses untuk mengakses sumber daya yang dilindungi, klien juga menerima token refresh. Token refresh digunakan untuk mendapatkan pasangan token akses/refresh baru ketika token akses saat ini berakhir. Token refresh juga digunakan untuk memperoleh token akses tambahan untuk sumber daya lain. Token refresh terikat ke kombinasi pengguna dan klien, tetapi tidak terkait dengan sumber daya atau penyewa. Dengan demikian, klien dapat menggunakan token refresh untuk memperoleh token akses di semua kombinasi sumber daya dan penyewa yang memiliki izin untuk melakukannya. Token refresh dienkripsi dan hanya platform identitas Microsoft yang dapat membacanya.

Prasyarat

Sebelum membaca artikel ini, sebaiknya Anda menelusuri artikel berikut:

Masa pakai token refresh

Token refresh memiliki masa pakai yang lebih lama dari pada token akses. Masa pakai default untuk token adalah 90 hari dan diganti sendiri dengan token baru setiap kali digunakan. Dengan demikian, setiap kali token refresh digunakan untuk memperoleh token akses baru, token refresh baru juga dikeluarkan. Platform identitas Microsoft tidak mencabut token refresh lama saat digunakan untuk mengambil token akses baru. Hapus token refresh lama dengan aman setelah memperoleh token baru. Token refresh perlu disimpan dengan aman seperti token akses atau kredensial aplikasi.

Masa berlaku token refresh

Token refresh dapat dicabut kapan saja, karena waktu habis dan pencabutan. Aplikasi Anda harus menangani penolakan oleh layanan masuk dengan baik saat hal ini terjadi. Hal ini dilakukan dengan mengirim pengguna ke perintah masuk interaktif untuk masuk lagi.

Batas waktu token

Anda tidak dapat mengonfigurasi masa pakai token refresh. Anda tidak dapat mengurangi atau memperpanjang masa pakai token refresh. Konfigurasikan frekuensi masuk di Akses Bersyarat untuk menentukan periode waktu sebelum pengguna diharuskan masuk lagi. Pelajari selengkapnya tentang Mengonfigurasi manajemen sesi autentikasi dengan Akses Bersyarat.

Tidak semua token refresh mengikuti aturan yang ditetapkan dalam kebijakan seumur hidup token. Secara khusus, token refresh yang digunakan dalam aplikasi satu halaman selalu ditetapkan untuk aktivitas 24 jam, seolah-olah token refresh memiliki kebijakan MaxAgeSessionSingleFactor 24 jam yang diterapkan pada token refresh.

Pencabutan

Token refresh dapat dicabut oleh server karena perubahan kredensial, tindakan pengguna, atau tindakan admin. Token refresh termasuk dalam dua kelas: token yang dikeluarkan untuk klien rahasia (kolom paling kanan) dan yang dikeluarkan untuk klien publik (semua kolom lainnya).

Ubah Cookie berbasis kata sandi Token berbasis kata sandi Cookie berbasis non-kata sandi Token berbasis non-kata sandi Token klien rahasia
Kata sandi kedaluwarsa Tetap hidup Tetap hidup Tetap hidup Tetap hidup Tetap hidup
Kata sandi diubah oleh pengguna Dicabut Dicabut Tetap hidup Tetap hidup Tetap hidup
Pengguna melakukan SSPR Dicabut Dicabut Tetap hidup Tetap hidup Tetap hidup
Admin mereset kata sandi Dicabut Dicabut Tetap hidup Tetap hidup Tetap hidup
Pengguna mencabut token refreshnya melalui PowerShell Dicabut Dicabut Dicabut Dicabut Dicabut
Admin mencabut semua token refresh untuk pengguna melalui PowerShell Dicabut Dicabut Dicabut Dicabut Dicabut
Keluar sekali di web Dicabut Tetap hidup Dicabut Tetap hidup Tetap hidup

Langkah berikutnya