Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein Aktualisierungstoken wird verwendet, um neue Zugriffs- und Aktualisierungstokenpaare abzurufen, wenn das aktuelle Zugriffstoken abläuft. Wenn ein Client ein Zugriffstoken für den Zugriff auf eine geschützte Ressource abruft, erhält er auch ein Aktualisierungstoken.
Aktualisierungstoken werden auch verwendet, um zusätzliche Zugriffstoken für andere Ressourcen abzurufen. Aktualisierungstoken sind an eine Kombination aus Benutzer und Client gebunden, aber nicht an eine Ressource oder einen Mandanten. Ein Client kann ein Aktualisierungstoken verwenden, um Zugriffstoken für eine beliebige Kombination von Ressourcen und Mandanten zu erwerben, sofern er dazu berechtigt ist. Aktualisierungstoken werden verschlüsselt und können nur von Microsoft Identity Platform gelesen werden.
Tokengültigkeitsdauer
Aktualisierungstoken haben eine längere Gültigkeitsdauer als Zugriffstoken. Die Standardlebensdauer für die Aktualisierungstoken lautet wie folgt:
- 24 Stunden für Einzelseitenanwendungen.
- 24 Stunden für Apps, die den Einmalpasswort-Authentifizierungsfluss für E-Mail verwenden.
- 90 Tage für alle anderen Szenarien.
Aktualisierungstoken ersetzen sich bei jeder Verwendung selbst durch ein neues Token. Die Microsoft Identity-Plattform widerruft keine alten Refresh-Token, wenn damit neue Zugriffstoken abgerufen werden. Löschen Sie das alte Aktualisierungstoken dauerhaft, nachdem Sie ein neues Token abgerufen haben. Aktualisierungstoken müssen wie Zugriffstoken oder Anwendungsanmeldeinformationen sicher gespeichert werden.
Hinweis
Aktualisierungstoken, die an einen als spa registrierten Umleitungs-URI gesendet werden, laufen nach 24 Stunden ab. Weitere Aktualisierungstoken, die mithilfe des ersten Aktualisierungstoken abgerufen werden, übernehmen diese Gültigkeitsdauer. Apps müssen also darauf vorbereitet sein, den Autorisierungscodeflow mithilfe einer interaktiven Authentifizierung erneut auszuführen, um alle 24 Stunden ein neues Aktualisierungstoken abzurufen. Benutzer müssen ihre Anmeldeinformationen nicht eingeben und sehen in der Regel keine zugehörige Benutzeroberfläche. Stattdessen wird Ihre Anwendung neu geladen. Der Browser muss die Anmeldeseite in einem Top-Level-Frame besuchen, um die Anmeldungssitzung anzuzeigen. Dies liegt an den Datenschutzfunktionen bei Browsern, die Cookies von Drittanbietern blockieren.
Ablauf des Tokens
Aktualisierungstoken laufen automatisch ab, sobald der Lebensdauerzeitraum verstrichen ist. Darüber hinaus können sie vom Anmeldedienst jederzeit vor ihrem Ablauf widerrufen werden. Ihre App sollte solche Sperrungen ordnungsgemäß behandeln, indem sie den Benutzer zu einer interaktiven Anmeldeaufforderung umleiten, um ein neues Token erneut zu authentifizieren und abzurufen.
Widerrufen von Token
Der Server kann Aktualisierungstoken aufgrund einer Änderung der Anmeldeinformationen, einer Benutzeraktion oder einer Administratoraktion widerrufen. Aktualisierungstoken werden in zwei Klassen unterteilt: Token, die für vertrauliche Clients ausgestellt werden (die Spalte ganz rechts), und Token, die für öffentliche Clients (alle anderen Spalten) ausgestellt werden.
| Änderung | Kennwortbasiertes Cookie | Kennwortbasiertes Token | Nicht kennwortbasiertes Cookie | Nicht kennwortbasiertes Token | Vertrauliches Clienttoken |
|---|---|---|---|---|---|
| Kennwort läuft ab | Bleibt aktiv | Bleibt aktiv | Bleibt aktiv | Bleibt aktiv | Bleibt aktiv |
| Kennwort wird vom Benutzer geändert | Widerrufen | Widerrufen | Bleibt aktiv | Bleibt aktiv | Bleibt aktiv |
| Benutzer verwendet SSPR | Widerrufen | Widerrufen | Bleibt aktiv | Bleibt aktiv | Bleibt aktiv |
| Das Kennwort wird vom Administrator zurückgesetzt (Azure-Portal) | Widerrufen | Widerrufen | Bleibt aktiv | Bleibt aktiv | Bleibt aktiv |
| Das Kennwort wird vom Administrator zurückgesetzt (Microsoft Entra Admin Center) | Widerrufen | Widerrufen | Bleibt aktiv | Widerrufen | Widerrufen |
| Administrator setzt kennwort zurück (M365 Admin Center) | Widerrufen | Widerrufen | Bleibt aktiv | Widerrufen | Widerrufen |
| Der Benutzer widerruft seine Aktualisierungstoken | Widerrufen | Widerrufen | Widerrufen | Widerrufen | Widerrufen |
| Der Administrator widerruft alle Aktualisierungstoken für einen Benutzer | Widerrufen | Widerrufen | Widerrufen | Widerrufen | Widerrufen |
| Einmaliges Abmelden | Widerrufen | Bleibt aktiv | Widerrufen | Bleibt aktiv | Bleibt aktiv |
Hinweis
Aktualisierungstoken werden für B2B-Benutzer und -Benutzerinnen in ihrem Ressourcenmandanten nicht widerrufen. Das Token muss im Home-Mandanten widerrufen werden.