Partilhar via


Atualizar tokens na plataforma de identidade da Microsoft

Um token de atualização é usado para obter novos pares de token de acesso e atualização quando o token de acesso atual expira. Quando um cliente adquire um token de acesso para acessar um recurso protegido, o cliente também recebe um token de atualização.

Os tokens de atualização também são usados para adquirir tokens de acesso extra para outros recursos. Os tokens de atualização estão vinculados a uma combinação de usuário e cliente, mas não estão vinculados a um recurso ou locatário. Um cliente pode usar um token de atualização para adquirir tokens de acesso em qualquer combinação de recurso e locatário onde tiver permissão para fazê-lo. Os tokens de atualização são criptografados e somente a plataforma de identidade da Microsoft pode lê-los.

Duração do token

Os tokens de atualização têm uma vida útil mais longa do que os tokens de acesso. O tempo de vida padrão para os tokens de atualização é de 24 horas para aplicativos de página única e 90 dias para todos os outros cenários. Os tokens de atualização substituem-se por um novo token a cada uso. A plataforma de identidade da Microsoft não revoga tokens de atualização antigos quando usada para buscar novos tokens de acesso. Exclua com segurança o token de atualização antigo depois de adquirir um novo. Os tokens de atualização precisam ser armazenados com segurança, como tokens de acesso ou credenciais de aplicativo.

Nota

Os tokens de atualização enviados para um URI de redirecionamento registrado como spa expiram após 24 horas. Tokens de atualização adicionais adquiridos usando o token de atualização inicial transitam por esse tempo de expiração, portanto, os aplicativos devem estar preparados para executar novamente o fluxo de código de autorização usando uma autenticação interativa para obter um novo token de atualização a cada 24 horas. Os usuários não precisam inserir suas credenciais e, geralmente, nem veem nenhuma experiência de usuário relacionada, apenas uma recarga do seu aplicativo. O navegador deve visitar a página de login em um quadro de nível superior para mostrar a sessão de login. Isso se deve a recursos de privacidade em navegadores que bloqueiam cookies de terceiros.

Expiração do token

Os tokens de atualização podem ser revogados a qualquer momento, devido a tempos limite e revogações. Seu aplicativo deve lidar com revogações pelo serviço de entrada normalmente, enviando o usuário para um prompt de entrada interativo para entrar novamente.

Tempos limite do token

Não é possível configurar o tempo de vida de um token de atualização. Não é possível reduzir ou prolongar a sua vida útil. Portanto, é importante garantir que você proteja os tokens de atualização, pois eles podem ser extraídos de locais públicos por agentes mal-intencionados, ou até mesmo do próprio dispositivo se o dispositivo estiver comprometido. Há algumas coisas que você pode fazer:

Nem todos os tokens de atualização seguem as regras definidas na política de tempo de vida do token. Especificamente, os tokens de atualização usados em aplicativos de página única são sempre fixados em 24 horas de atividade, como se tivessem uma MaxAgeSessionSingleFactor política de 24 horas aplicada a eles.

Revogação de token

O servidor pode revogar tokens de atualização devido a uma alteração nas credenciais, ação do usuário ou ação administrativa. Os tokens de atualização se dividem em duas classes: tokens emitidos para clientes confidenciais (a coluna mais à direita) e tokens emitidos para clientes públicos (todas as outras colunas).

Alteração Cookie baseado em palavra-passe Token baseado em senha Cookie não baseado em palavra-passe Token não baseado em senha Token de cliente confidencial
A palavra-passe expira Mantém-se vivo Mantém-se vivo Mantém-se vivo Mantém-se vivo Mantém-se vivo
Palavra-passe alterada pelo utilizador Revogado Revogado Mantém-se vivo Mantém-se vivo Mantém-se vivo
O usuário faz SSPR Revogado Revogado Mantém-se vivo Mantém-se vivo Mantém-se vivo
O administrador redefine a senha Revogado Revogado Mantém-se vivo Mantém-se vivo Mantém-se vivo
O usuário revoga seus tokens de atualização Revogado Revogado Revogado Revogado Revogado
O administrador revoga todos os tokens de atualização para um usuário Revogado Revogado Revogado Revogado Revogado
Fim de sessão único Revogado Mantém-se vivo Revogado Mantém-se vivo Mantém-se vivo

Nota

Os tokens de atualização não são revogados para usuários B2B em seu locatário de recurso. O token precisa ser revogado no inquilino da casa.