机密客户端的 Azure 广告刷新令牌是否永不过期

【问题标题】:Does Azure ad refresh token for Confidential clients neve expire机密客户端的 Azure 广告刷新令牌是否永不过期
【发布时间】:2019-01-07 16:13:51
【问题描述】:

在文档https://docs.microsoft.com/en-us/azure/active-directory/active-directory-configurable-token-lifetimes 中,它说:

机密客户端是可以安全存储客户端的应用程序 密码(秘密)。他们可以证明请求来自 安全的客户端应用程序,而不是来自恶意行为者。为了 例如,Web 应用程序是机密客户端,因为它可以存储 Web 服务器上的客户端密码。它没有暴露。因为这些 流更安全,发出的刷新令牌的默认生命周期 直到撤销,不能通过使用策略来更改这些流, 并且不会因自愿重置密码而被撤销。

现在对于我的 webAPI 应用程序,我应该确保刷新令牌永不过期。

我的问题:

1. 机密客户端的刷新令牌在撤销之前不会过期吗?

2.当我使用旧的刷新令牌获取新的访问令牌时,服务器将返回一个与旧刷新令牌不同的新刷新令牌。我应该使用新的刷新令牌来替换旧的刷新令牌吗?还是新旧刷新令牌都不会过期 unitl revoke?

【问题讨论】:

    标签: azure azure-active-directory refresh-token


    【解决方案1】:

    该文档中的一个关键文本:

    不会因自愿重置密码而被撤销

    这意味着对于机密客户端,如果用户更改密码,刷新令牌不会被撤销。 但是,我认为这不适用于管理员进行的重置。

    每当您使用刷新令牌时,您必须为令牌不起作用的情况做好准备。

    如果您的应用具有取决于该访问权限的关键功能,并且无法处理访问数据的停机时间,则您需要使用应用权限。

    第二个问题有这么一点:

    刷新令牌最长不活动时间(为机密客户颁发)90 天

    因此,90 天内未使用的刷新令牌将不再起作用。 我会始终用新的刷新令牌替换当前的刷新令牌,并确保定期刷新刷新令牌(如果它们可能不被使用)。

    【讨论】:

    • 是的,现在我只使用新的刷新令牌来替换旧的刷新令牌并定期使用刷新令牌。 Refresh Token Max Inactive Time(为机密客户颁发)。如果我们使用一个刷新令牌,并确保它将在 90 天内使用。我们应该一直使用这个引用令牌吗?
    • 这是我不能 100% 确定的一件事(我认为文档有点不清楚)。我没有测试过你使用刷新令牌的场景。可以肯定的是,我只是确保在那段时间内获得一个新的刷新令牌。
    • 感谢您的回复。从文档看起来是这样的。我使用 azure ad webAPP 从客户那里获取用户/组。是的,我们最好使用新的刷新令牌来替换旧的刷新令牌。
    猜你喜欢
    • 1970-01-01
    • 2022-11-29
    • 2020-02-23
    • 2017-09-28
    • 2020-06-22
    • 2016-04-14
    • 2021-04-29
    • 2016-12-11
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode