Atualizar tokens na plataforma de identidade da Microsoft
Quando um cliente adquire um token de acesso para acessar um recurso protegido, o cliente também recebe um token de atualização. O token de atualização é usado para obter novos pares de token de acesso e atualização quando o token de acesso atual expira.
Os tokens de atualização também são usados para adquirir tokens de acesso extra para outros recursos. Os tokens de atualização estão vinculados a uma combinação de usuário e cliente, mas não estão vinculados a um recurso ou locatário. Um cliente pode usar um token de atualização para adquirir tokens de acesso em qualquer combinação de recurso e locatário onde tiver permissão para fazê-lo. Os tokens de atualização são criptografados e somente a plataforma de identidade da Microsoft pode lê-los.
Duração do token
Os tokens de atualização têm uma vida útil mais longa do que os tokens de acesso. O tempo de vida padrão para os tokens de atualização é de 24 horas para aplicativos de página única e 90 dias para todos os outros cenários. Os tokens de atualização substituem-se por um novo token a cada uso. A plataforma de identidade da Microsoft não revoga tokens de atualização antigos quando usada para buscar novos tokens de acesso. Exclua com segurança o token de atualização antigo depois de adquirir um novo. Os tokens de atualização precisam ser armazenados com segurança, como tokens de acesso ou credenciais de aplicativo.
Nota
Os tokens de atualização enviados para um URI de redirecionamento registrado como spa expiram após 24 horas. Tokens de atualização adicionais adquiridos usando o token de atualização inicial transitam por esse tempo de expiração, portanto, os aplicativos devem estar preparados para executar novamente o fluxo de código de autorização usando uma autenticação interativa para obter um novo token de atualização a cada 24 horas. Os usuários não precisam inserir suas credenciais e, geralmente, nem veem nenhuma experiência de usuário relacionada, apenas uma recarga do seu aplicativo. O navegador deve visitar a página de login em um quadro de nível superior para mostrar a sessão de login. Isso se deve a recursos de privacidade em navegadores que bloqueiam cookies de terceiros.
Expiração do token
Os tokens de atualização podem ser revogados a qualquer momento, devido a tempos limite e revogações. Seu aplicativo deve lidar com revogações pelo serviço de entrada normalmente, enviando o usuário para um prompt de entrada interativo para entrar novamente.
Tempos limite do token
Não é possível configurar o tempo de vida de um token de atualização. Não é possível reduzir ou prolongar a sua vida útil. Portanto, é importante garantir que você proteja os tokens de atualização, pois eles podem ser extraídos de locais públicos por agentes mal-intencionados, ou até mesmo do próprio dispositivo se o dispositivo estiver comprometido. Há algumas coisas que você pode fazer:
- Configure a frequência de entrada no Acesso Condicional para definir os períodos de tempo antes que um usuário precise entrar novamente. Para obter mais informações, consulte Configurando o gerenciamento de sessão de autenticação com acesso condicional.
- Use os serviços de gerenciamento de aplicativos do Microsoft Intune, como o gerenciamento de aplicativos móveis (MAM) e o gerenciamento de dispositivos móveis (MDM) para proteger os dados da sua organização
- Implementar política de proteção de token de Acesso Condicional
Nem todos os tokens de atualização seguem as regras definidas na política de tempo de vida do token. Especificamente, os tokens de atualização usados em aplicativos de página única são sempre fixados em 24 horas de atividade, como se tivessem uma MaxAgeSessionSingleFactor política de 24 horas aplicada a eles.
Revogação de token
O servidor pode revogar tokens de atualização devido a uma alteração nas credenciais, ação do usuário ou ação administrativa. Os tokens de atualização se dividem em duas classes: tokens emitidos para clientes confidenciais (a coluna mais à direita) e tokens emitidos para clientes públicos (todas as outras colunas).
| Alteração | Cookie baseado em palavra-passe | Token baseado em senha | Cookie não baseado em palavra-passe | Token não baseado em senha | Token de cliente confidencial |
|---|---|---|---|---|---|
| A palavra-passe expira | Mantém-se vivo | Mantém-se vivo | Mantém-se vivo | Mantém-se vivo | Mantém-se vivo |
| Palavra-passe alterada pelo utilizador | Revogado | Revogado | Mantém-se vivo | Mantém-se vivo | Mantém-se vivo |
| O usuário faz SSPR | Revogado | Revogado | Mantém-se vivo | Mantém-se vivo | Mantém-se vivo |
| O administrador redefine a senha | Revogado | Revogado | Mantém-se vivo | Mantém-se vivo | Mantém-se vivo |
| O usuário revoga seus tokens de atualização | Revogado | Revogado | Revogado | Revogado | Revogado |
| O administrador revoga todos os tokens de atualização para um usuário | Revogado | Revogado | Revogado | Revogado | Revogado |
| Fim de sessão único | Revogado | Mantém-se vivo | Revogado | Mantém-se vivo | Mantém-se vivo |
Nota
Os tokens de atualização não são revogados para usuários B2B em seu locatário de recurso. O token precisa ser revogado no inquilino da casa.