Uppdatera token i Microsofts identitetsplattform

När en klient hämtar en åtkomsttoken för att komma åt en skyddad resurs får klienten även en uppdateringstoken. Uppdateringstoken används för att hämta nya åtkomst- och uppdateringstokenpar när den aktuella åtkomsttoken upphör att gälla.

Uppdateringstoken används också för att hämta extra åtkomsttoken för andra resurser. Uppdateringstoken är bundna till en kombination av användare och klient, men är inte knutna till en resurs eller klientorganisation. En klient kan använda en uppdateringstoken för att hämta åtkomsttoken över valfri kombination av resurs och klientorganisation där den har behörighet att göra det. Uppdateringstoken krypteras och endast Microsofts identitetsplattform kan läsa dem.

Livslängd för token

Uppdateringstoken har en längre livslängd än åtkomsttoken. Standardlivslängden för uppdateringstoken är 24 timmar för ensidesappar och 90 dagar för alla andra scenarier. Uppdateringstoken ersätter sig själva med en ny token vid varje användning. Microsofts identitetsplattform återkallar inte gamla uppdateringstoken när de används för att hämta nya åtkomsttoken. Ta bort den gamla uppdateringstoken på ett säkert sätt när du har skaffat en ny. Uppdateringstoken måste lagras på ett säkert sätt som åtkomsttoken eller programautentiseringsuppgifter.

Kommentar

Uppdateringstoken som skickas till en omdirigerings-URI som registrerats spa efter 24 timmar. Ytterligare uppdateringstoken som hämtas med den första uppdateringstoken överför den förfallotiden, så appar måste vara beredda att köra auktoriseringskodflödet igen med hjälp av en interaktiv autentisering för att få en ny uppdateringstoken var 24:e timme. Användare behöver inte ange sina autentiseringsuppgifter och ser vanligtvis inte ens någon relaterad användarupplevelse, bara en ny inläsning av ditt program. Webbläsaren måste gå till inloggningssidan i en ram på den översta nivån för att visa inloggningssessionen. Detta beror på sekretessfunktioner i webbläsare som blockerar cookies från tredje part.

Förfallodatum för token

Uppdateringstoken kan återkallas när som helst på grund av tidsgränser och återkallningar. Appen måste hantera återkallningar av inloggningstjänsten på ett smidigt sätt genom att skicka användaren till en interaktiv inloggningsprompt för att logga in igen.

Tidsgränser för token

Du kan inte konfigurera livslängden för en uppdateringstoken. Du kan inte minska eller förlänga deras livslängd. Därför är det viktigt att se till att du skyddar uppdateringstoken, eftersom de kan extraheras från offentliga platser av dåliga aktörer, eller från själva enheten om enheten komprometteras. Det finns några saker du kan göra:

Alla uppdateringstoken följer inte de regler som anges i policyn för tokenlivslängd. Mer specifikt är uppdateringstoken som används i ensidesappar alltid fasta till 24 timmars aktivitet, som om de har en MaxAgeSessionSingleFactor princip på 24 timmar som tillämpas på dem.

Återkallning av token

Servern kan återkalla uppdateringstoken på grund av en ändring i autentiseringsuppgifter, användaråtgärd eller administratörsåtgärd. Uppdateringstoken delas in i två klasser: token som utfärdas till konfidentiella klienter (kolumnen längst till höger) och token som utfärdas till offentliga klienter (alla andra kolumner).

Förändring Lösenordsbaserad cookie Lösenordsbaserad token Icke-lösenordsbaserad cookie Icke-lösenordsbaserad token Konfidentiell klienttoken
Lösenordet upphör att gälla Håller sig vid liv Håller sig vid liv Håller sig vid liv Håller sig vid liv Håller sig vid liv
Lösenordet har ändrats av användaren Återkallas Återkallas Håller sig vid liv Håller sig vid liv Håller sig vid liv
Användaren utför SSPR Återkallas Återkallas Håller sig vid liv Håller sig vid liv Håller sig vid liv
Administratören återställer lösenord Återkallas Återkallas Håller sig vid liv Håller sig vid liv Håller sig vid liv
Användaren återkallar sina uppdateringstoken Återkallas Återkallas Återkallas Återkallas Återkallas
Administratören återkallar alla uppdateringstoken för en användare Återkallas Återkallas Återkallas Återkallas Återkallas
Enkel utloggning Återkallas Håller sig vid liv Återkallas Håller sig vid liv Håller sig vid liv

Kommentar

Uppdateringstoken återkallas inte för B2B-användare i deras resursklientorganisation. Token måste återkallas i hemklientorganisationen.

Se även