Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Маркер обновления используется для получения новых пар маркеров доступа и обновления при истечении срока действия текущего маркера доступа. Когда клиентское приложение обращается за маркером доступа для доступа к защищенному ресурсу, клиент также получает маркер обновления.
Маркеры обновления также применяются для получения дополнительных маркеров доступа для других ресурсов. Маркеры обновления привязаны к сочетанию пользователя и клиента, но не ограничены ресурсом или клиентом. Клиент может использовать маркер обновления для получения маркеров доступа в любом сочетании ресурсов и клиента, где у него есть разрешение на это. Маркеры обновления зашифрованы, и считывать их может только платформа идентификации Microsoft.
Время существования маркера
Маркеры обновления имеют более длительный срок действия, чем маркеры доступа. Время существования маркеров обновления по умолчанию составляет 24 часа для одностраничных приложений и 90 дней для всех остальных сценариев. Маркеры обновления заменяют сами себя новыми маркерами при каждом использовании. Платформа удостоверений Майкрософт не отзывает старые маркеры обновления, используемые для получения новых маркеров доступа. После получения нового маркера старый маркер можно удалить. Маркеры обновления должны храниться в безопасном месте так же, как маркеры доступа или учетные данные приложения.
Примечание.
Срок действия маркеров обновления, отправляемых в универсальный код ресурса (URI) перенаправления, который зарегистрирован как spa, истекает через 24 часа. Дополнительные маркеры обновления, полученные с помощью начального маркера обновления, наследуют этот срок действия, поэтому приложения следует подготовить к повторному выполнению потока кода проверки подлинности с помощью интерактивной проверки подлинности, чтобы получать новый маркер обновления каждые 24 часа. Пользователям не нужно вводить учетные данные. Как правило, они даже не наблюдают соответствующих элементов пользовательского интерфейса — только перезагрузку приложения. Браузер должен посетить страницу входа в кадр верхнего уровня, чтобы отобразить сеанс входа. Это обусловлено функциями обеспечения конфиденциальности в браузерах, блокирующих сторонние файлы cookie.
Срок действия токена
Маркеры обновления автоматически истекают после истечения периода существования. Кроме того, они могут быть отменены службой входа в любое время до истечения срока действия. Приложение должно корректно обрабатывать такие отзыва, перенаправляя пользователя на интерактивный запрос входа, чтобы повторно пройти проверку подлинности и получить новый маркер.
Отзыв маркеров
Сервер может отозвать маркеры обновления из-за изменения учетных данных, действия пользователя или действия администратора. Маркеры обновления делятся на два класса — те, которые выдаются конфиденциальным клиентам (самый правый столбец) и которые выдаются открытым клиентам (все остальные столбцы).
| Изменение | Файл cookie на основе пароля | Токен на основе пароля | Файл cookie без пароля | Токен без использования пароля | Конфиденциальный маркер клиента |
|---|---|---|---|---|---|
| Срок действия пароля | Остается активным | Остается активным | Остается активным | Остается активным | Остается активным |
| Пароль изменен пользователем | Отозвано | Отозвано | Остается активным | Остается активным | Остается активным |
| Пользователь выполняет самостоятельный сброс пароля (SSPR) | Отозвано | Отозвано | Остается активным | Остается активным | Остается активным |
| Администратор сбрасывает пароль (портал Azure) | Отозвано | Отозвано | Остается активным | Остается активным | Остается активным |
| Администратор выполняет сброс пароля (Центр управления Microsoft Entra) | Отозвано | Отозвано | Остается активным | Отозвано | Отозвано |
| Администратор сбрасывает пароль (Центр администрирования Microsoft 365) | Отозвано | Отозвано | Остается активным | Отозвано | Отозвано |
| Пользователь отменяет токены обновления | Отозвано | Отозвано | Отозвано | Отозвано | Отозвано |
| Администратор отменяет все маркеры обновления для пользователя | Отозвано | Отозвано | Отозвано | Отозвано | Отозвано |
| Единый выход из системы | Отозвано | Остается активным | Отозвано | Остается активным | Остается активным |
Примечание.
Токены обновления не отзываются для пользователей B2B в арендаторе ресурсов. Маркер необходимо отозвать в домашнем арендаторе.