Expiration du jeton de rafraîchissement azure
Jetons d’actualisation dans la plateforme d’identités Microsoft
Un jeton d’actualisation est utilisé pour obtenir de nouvelles paires de jetons d’accès et d’actualisation lorsque le jeton d’accès actuel expire. Lorsqu’un client acquiert un jeton d’accès pour accéder à une ressource protégée, le client reçoit également un jeton d’actualisation.
Les jetons d’actualisation sont également utilisés pour acquérir des jetons d’accès supplémentaires pour d’autres ressources. Les jetons d’actualisation sont liés à une combinaison d’utilisateur et de client, mais ne sont pas liés à une ressource ou à un locataire. Un client peut utiliser un jeton d’actualisation pour acquérir des jetons d’accès sur n’importe quelle combinaison de ressource et de locataire lorsqu’il est autorisé à le faire. Les jetons d’actualisation sont chiffrés et seule la plateforme d’identités Microsoft peut les lire.
Durée de vie du jeton
Les jetons d’actualisation ont une durée de vie plus longue que les jetons d’accès. La durée de vie par défaut des jetons d’actualisation est de 24 heures pour les applications à page unique et de 90 jours pour tous les autres scénarios. Les jetons de rafraîchissement se remplacent par un nouveau jeton à chaque utilisation. La plateforme d’identités Microsoft ne révoque pas les anciens jetons d’actualisation lorsqu’elle est utilisée pour récupérer de nouveaux jetons d’accès. Supprimez en toute sécurité l’ancien jeton d’actualisation après en avoir acquis un nouveau. Les jetons d’actualisation doivent être stockés en toute sécurité, comme les jetons d’accès ou les informations d’identification de l’application.
Remarque Les
jetons d’actualisation envoyés à une URI de redirection enregistrée comme expirent au bout de 24 heures. Les jetons d’actualisation supplémentaires acquis à l’aide du jeton d’actualisation initial sont reportés sur ce délai d’expiration, de sorte que les applications doivent être prêtes à réexécuter le flux de code d’autorisation à l’aide d’une authentification interactive pour obtenir un nouveau jeton d’actualisation toutes les 24 heures. Les utilisateurs n’ont pas besoin d’entrer leurs informations d’identification et ne voient généralement même pas l’expérience utilisateur associée, juste un rechargement de votre application. Le navigateur doit visiter la page de connexion dans un cadre de niveau supérieur pour afficher la session de connexion. Cela est dû à .
Les
jetons d’actualisation peuvent être révoqués à tout moment en raison de délais d’expiration et de révocations. Votre application doit gérer les révocations par le service de connexion de manière élégante en envoyant l’utilisateur à une invite de connexion interactive pour se reconnecter.
Délais d’expiration du
jeton Vous ne pouvez pas configurer la durée de vie d’un jeton d’actualisation. Vous ne pouvez pas réduire ou allonger leur durée de vie. Par conséquent, il est important de s’assurer que vous sécurisez les jetons d’actualisation, car ils peuvent être extraits d’emplacements publics par des acteurs malveillants, ou même de l’appareil lui-même si l’appareil est compromis. Il y a plusieurs choses que vous pouvez faire :
Tous les jetons d’actualisation ne suivent pas les règles définies dans la politique de durée de vie des jetons. Plus précisément, les jetons d’actualisation utilisés dans les applications à page unique sont toujours fixés à 24 heures d’activité, comme si une politique de 24 heures leur était appliquée.
Révocation du jeton
Le serveur peut révoquer les jetons d’actualisation en raison d’une modification des informations d’identification, d’une action de l’utilisateur ou d’une action d’administrateur. Les jetons d’actualisation se divisent en deux catégories : les jetons émis à des clients confidentiels (colonne la plus à droite) et les jetons émis à des clients publics (toutes les autres colonnes).
| Modifier | Jeton | basé sur un mot de passe | Jeton non basé sur un mot de passe | Jeton client confidentiel | |
|---|---|---|---|---|---|
| Le mot de passe expire | Reste vivant Reste vivant | Reste vivant | Reste vivant | Reste vivant | |
| Mot de passe modifié par l’utilisateur | Abrogé | Annulé | Reste en vie | Reste en vie | Reste en vie |
| L’utilisateur fait SSPR | Révoqué Annulé | Annulé | Reste en vie | Reste en vie | Reste en vie |
| L’administrateur réinitialise le mot de passe | Révoqué | Révoqué | Reste en vie | Reste en vie | L’utilisateur |
| révoque ses jetons d’actualisation | Révoqué | Révoqué | Révoqué Révoqué | Révoqué Révoqué | |
| L’administrateur révoque tous les jetons d’actualisation d’un utilisateur | Révoqué | Révoqué | Annulé | Révoqué | Désabonnement |
| unique | Révoqué | Reste en vie | Révoqué | Reste en | vie |
Remarque
Jetons d’actualisation ne sont pas révoquées pour les utilisateurs B2B dans leur locataire de ressources. Le jeton doit être révoqué dans le locataire de la maison.