Oauth 2.0 Azure AD:我们的OAuth2访问/刷新令牌是否会因过期的客户端机密/密钥而失效?
Azure AD中的OAuth2客户端机密/密钥发布期限为1年和2年。这意味着大约一年后,我们的机密/密钥将过期。我们非常担心这会中断“刷新令牌”步骤,我们的服务将停止为数百名已授权Yoxel访问其Office 365帐户的活动用户提供服务。这对我们来说是一个巨大的问题,因为我们的许多客户都是企业用户,他们不想为重新授权的请求而烦恼。我们的服务在后台运行,他们几乎忘记了它的存在 你能对这个话题发表评论吗?当我们为客户id生成新的机密/密钥时,我们是否有办法确保我们现在拥有OAuth2访问/刷新令牌的现有用户不必再次授权Yoxel访问他们的帐户Oauth 2.0 Azure AD:我们的OAuth2访问/刷新令牌是否会因过期的客户端机密/密钥而失效?,oauth-2.0,azure-active-directory,Oauth 2.0,Azure Active Directory,Azure AD中的OAuth2客户端机密/密钥发布期限为1年和2年。这意味着大约一年后,我们的机密/密钥将过期。我们非常担心这会中断“刷新令牌”步骤,我们的服务将停止为数百名已授权Yoxel访问其Office 365帐户的活动用户提供服务。这对我们来说是一个巨大的问题,因为我们的许多客户都是企业用户,他们不想为重新授权的请求而烦恼。我们的服务在后台运行,他们几乎忘记了它的存在 你能对这个话题发表评论吗?当我们为客户id生成新的机密/密钥时,我们是否有办法确保我们现在拥有OAuth2访问/刷新令
谢谢。请阅读此处,了解更多有关Azure Active Directory的信息 如果您查看有关机密客户的部分,您将看到以下内容: 具有机密客户端刷新令牌的令牌生存期 机密客户端是可以安全存储客户端的应用程序 密码(秘密)。他们可以证明请求来自 客户端应用程序,而不是来自恶意参与者。例如,网络 应用程序是机密客户端,因为它可以在上存储客户端机密 网络服务器。它没有暴露。因为这些流量更大 secure,是颁发给这些流的刷新令牌的默认生存期 在被撤销之前,无法使用策略进行更改,,并且不会被删除 自愿密码重置时被撤销
因此,只要访问/刷新令牌有效,您生成的令牌将继续工作,与最初生成它所用的密钥的生存期无关。现在可以从中选择无限的过期日期。它实际上不是无限的,但它设定了一个非常遥远的未来日期(1999年12月31日)。谢谢你。我们去看看。我们可以安全地更改现有机密的过期日期吗?不,当前您无法更改现有机密的过期日期Shawn,感谢您的回复。我仍然很担心,因为令牌刷新请求将secret作为一个参数-grant_type=refresh_-token&refresh_-token={应用程序缓存中的当前refreshttoken}&client_-id={应用程序在AAD中的客户端id}&client_-secret={应用程序的客户端secret&resource={API的Uri}如果这个秘密过期了,还能用吗?或者更新后的秘密就可以了吗?我自己还没有测试过,但我强烈怀疑过期的秘密无法刷新令牌,但新的秘密可以。我想我们必须尽早测试。尝试使用现有刷新令牌和新密钥刷新令牌。如果这样行的话,我们的状态很好。我如何确认我们的应用程序当前被视为安全应用程序?您是否询问如何检查您的应用程序是否为机密客户端?如果是这样,它应该是你的应用注册的一部分。您的应用程序清单上有一个属性,上面写着
PublicClient:False