Sdílet prostřednictvím


Aktualizace tokenů na platformě Microsoft Identity Platform

Obnovovací token slouží k získání nových párů přístupových a obnovovacích tokenů při vypršení platnosti aktuálního přístupového tokenu. Když klient získá přístupový token pro přístup k chráněnému prostředku, klient obdrží také obnovovací token.

Obnovovací tokeny se také používají k získání dodatečných přístupových tokenů pro jiné prostředky. Obnovovací tokeny jsou vázané na kombinaci uživatele a klienta, ale nejsou svázané s prostředkem nebo tenantem. Klient může použít obnovovací token k získání přístupových tokenů v libovolné kombinaci prostředku a tenanta, kde k tomu má oprávnění. Obnovovací tokeny jsou šifrované a jen platforma Microsoft Identity Platform je může číst.

Životnost tokenu

Obnovovací tokeny mají delší životnost než přístupové tokeny. Výchozí životnost obnovovacích tokenů je 24 hodin pro jednostrákové aplikace a 90 dní pro všechny ostatní scénáře. Obnovovací tokeny se při každém použití nahradí čerstvým tokenem. Platforma Microsoft Identity Platform neodvolá staré obnovovací tokeny, pokud se používají k načtení nových přístupových tokenů. Po získání nového tokenu aktualizace bezpečně odstraňte starý obnovovací token. Obnovovací tokeny je potřeba bezpečně ukládat, jako jsou přístupové tokeny nebo přihlašovací údaje aplikace.

Poznámka:

Platnost obnovovacích tokenů odeslaných na identifikátor URI přesměrování zaregistrovaný po spa 24 hodinách vyprší. Další obnovovací tokeny získané pomocí počátečního obnovovacího tokenu se přenesou během této doby vypršení platnosti, takže aplikace musí být připraveny znovu spustit tok autorizačního kódu pomocí interaktivního ověřování, aby získaly nový obnovovací token každých 24 hodin. Uživatelé nemusí zadávat svoje přihlašovací údaje a obvykle nevidí žádné související uživatelské prostředí, jenom opětovné načtení aplikace. Prohlížeč musí navštívit přihlašovací stránku v rámci nejvyšší úrovně, aby se zobrazila relace přihlášení. Důvodem jsou funkce ochrany osobních údajů v prohlížečích, které blokují soubory cookie třetích stran.

Vypršení platnosti tokenu

Obnovovací tokeny je možné kdykoli odvolat z důvodu vypršení časového limitu a odvolání. Vaše aplikace musí řádně zpracovávat odvolání přihlašovací službou odesláním uživatele na interaktivní výzvu k přihlášení, aby se znovu přihlásila.

Vypršení časových limitů tokenů

Životnost obnovovacího tokenu nemůžete nakonfigurovat. Nemůžete zkrátit ani prodloužit jejich životnost. Proto je důležité zajistit zabezpečení obnovovacích tokenů, protože je možné je extrahovat z veřejných umístění špatnými aktéry nebo skutečně ze samotného zařízení, pokud dojde k ohrožení zabezpečení zařízení. Existuje několik věcí, které můžete udělat:

Ne všechny obnovovací tokeny se řídí pravidly nastavenými v zásadách životnosti tokenu. Konkrétně se obnovovací tokeny používané v jednostrákových aplikacích vždy opravují na 24 hodin aktivity, jako by se MaxAgeSessionSingleFactor na ně použily zásady 24 hodin.

Odvolání tokenu

Server může odvolat obnovovací tokeny kvůli změně přihlašovacích údajů, akce uživatele nebo akce správce. Obnovovací tokeny spadají do dvou tříd: tokeny vydané důvěrným klientům (sloupec úplně vpravo) a tokeny vydané veřejným klientům (všechny ostatní sloupce).

Změnit Soubor cookie založený na heslech Token založený na heslech Soubor cookie bez hesla Token bez hesla Důvěrný token klienta
Platnost hesla vyprší. Zůstane naživu Zůstane naživu Zůstane naživu Zůstane naživu Zůstane naživu
Heslo změněné uživatelem Odvolaný Odvolaný Zůstane naživu Zůstane naživu Zůstane naživu
Uživatel provede samoobslužné resetování hesla Odvolaný Odvolaný Zůstane naživu Zůstane naživu Zůstane naživu
Správce resetuje heslo. Odvolaný Odvolaný Zůstane naživu Zůstane naživu Zůstane naživu
Uživatel odvolá své obnovovací tokeny. Odvolaný Odvolaný Odvolaný Odvolaný Odvolaný
Správce odvolá všechny obnovovací tokeny pro uživatele. Odvolaný Odvolaný Odvolaný Odvolaný Odvolaný
Jednotné odhlašování Odvolaný Zůstane naživu Odvolaný Zůstane naživu Zůstane naživu

Poznámka:

Obnovovací tokeny nejsou odvolány pro uživatele B2B ve svém tenantovi prostředků. Token je potřeba odvolat v domovském tenantovi.