即使设置了令牌策略,Azure AD 刷新令牌似乎也不会过期

【问题标题】:Azure AD refresh token doesn't seem to expire even when token policy is set即使设置了令牌策略,Azure AD 刷新令牌似乎也不会过期
【发布时间】:2019-06-24 10:02:39
【问题描述】:

我已尝试进入 Azure 门户 PowerShell 并创建了此默认令牌策略。通过将刷新令牌最大期限设置为 12 分钟。但似乎我仍然可以使用刷新令牌在 15 分钟后通过POST /token 端点获取新的访问令牌(超过 11 分钟的MaxInactiveTime)。

我知道正在应用该策略,因为新发布的访问令牌正在使用新的策略定义的生命周期(10 分钟)。只是没有应用新的刷新令牌生命周期

AzureAdTokenPolicy

  New-AzureADPolicy -DisplayName OrganizationDefaultPolicyScenario -Definition @('{  
   "TokenLifetimePolicy":{  
      "Version":1,
      "MaxAgeSingleFactor":"00:12:00",
      "AccessTokenLifetime":"00:10:00",
      "MaxInactiveTime":"00:11:00",
      "MaxAgeSessionSingleFactor":"00:12:00",
      "MaxAgeSessionMultiFactor":"00:12:00",
      "MaxAgeMultiFactor":"00:12:00"
   }
}') -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

【问题讨论】:

    标签: azure azure-active-directory


    【解决方案1】:

    我认为这种行为是设计使然:https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-configurable-token-lifetimes

    带有机密客户端刷新令牌的令牌生命周期

    机密客户端是可以安全存储客户端密码(秘密)的应用程序。他们可以证明请求来自受保护的客户端应用程序,而不是来自恶意行为者。例如,Web 应用程序是机密客户端,因为它可以在 Web 服务器上存储客户端机密。它没有暴露。由于这些流程更安全,因此颁发给这些流程的刷新令牌的默认生命周期直到被撤销,不能通过使用策略进行更改,并且不会在自愿密码重置时被撤销。

    因此,如果您的 Azure AD 应用程序注册为“Web 应用程序/API”(旧注册刀片)或“Web”(新注册刀片)应用程序,则它会被视为“机密客户端”并且会发出不会过期的刷新令牌.

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2020-08-20
      • 1970-01-01
      • 1970-01-01
      • 2018-01-21
      • 2018-06-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode