새로 고침 토큰은 현재 액세스 토큰이 만료되면 새 액세스 및 새로 고침 토큰 쌍을 가져오는 데 사용됩니다. 클라이언트가 보호된 리소스에 액세스하기 위해 액세스 토큰을 획득할 때 새로 고침 토큰도 받습니다.
새로 고침 토큰은 다른 리소스에 대한 추가 액세스 토큰을 얻는 데에도 사용됩니다. 새로 고침 토큰은 사용자와 클라이언트의 조합에 바인딩되며 리소스나 테넌트에 연결되지 않습니다. 클라이언트는 새로 고침 토큰을 사용하여 권한이 있는 리소스와 테넌트의 조합에서 액세스 토큰을 얻을 수 있습니다. 새로 고침 토큰은 암호화되며 Microsoft ID 플랫폼에서만 읽을 수 있습니다.
토큰 수명
새로 고침 토큰은 액세스 토큰보다 수명이 더 깁니다. 새로 고침 토큰의 기본 수명은 단일 페이지 앱의 경우 24시간, 다른 모든 시나리오에서는 90일입니다. 새로 고침 토큰은 사용할 때마다 새 토큰으로 자동 대체됩니다. Microsoft ID 플랫폼은 새 액세스 토큰을 가져오는 데 사용되는 경우 이전의 새로 고침 토큰을 취소하지 않습니다. 새 토큰을 획득한 후 이전의 새로 고침 토큰을 안전하게 삭제하세요. 새로 고침 토큰은 액세스 토큰이나 애플리케이션 자격 증명처럼 안전하게 저장해야 합니다.
참고 항목
spa로 등록된 리디렉션 URI로 전송되는 새로 고침 토큰은 24시간 후에 만료됩니다. 초기 새로 고침 토큰을 사용하여 획득한 추가 새로 고침 토큰은 해당 만료 시간까지 계속 사용되므로 앱은 대화형 인증을 사용하여 인증 코드 흐름을 다시 실행함으로써 24시간마다 새 새로 고침 토큰을 가져올 수 있도록 준비해야 합니다. 사용자는 자격 증명을 입력할 필요가 없으며 일반적으로 애플리케이션을 다시 로드하는 관련 사용자 환경도 볼 수 없습니다. 로그인 세션을 표시하려면 브라우저가 최상위 프레임의 로그인 페이지를 방문해야 합니다. 이는 타사 쿠키를 차단하는 브라우저의 개인 정보 보호 기능 때문입니다.
토큰 만료
새로 고침 토큰은 수명 기간이 경과하면 자동으로 만료됩니다. 또한 만료되기 전에 언제든지 로그인 서비스에서 해지할 수 있습니다. 앱은 사용자를 대화형 로그인 프롬프트로 리디렉션하여 새 토큰을 다시 인증하고 가져와서 이러한 해지를 정상적으로 처리해야 합니다.
토큰 해지
자격 증명, 사용자 작업 또는 관리자 작업의 변경으로 인해 서버가 새로 고침 토큰을 철회할 수 있습니다. 새로 고침 토큰은 기밀 클라이언트가 발급한 토큰(가장 오른쪽 열)과 공용 클라이언트가 발급한 토큰(다른 모든 열)의 두 클래스에 속합니다.
| 변경 | 암호 기반 쿠키 | 암호 기반 토큰 | 비암호 기반 쿠키 | 비암호 기반 토큰 | 기밀 클라이언트 토큰 |
|---|---|---|---|---|---|
| 암호 만료 | 활성 상태 | 활성 상태 | 활성 상태 | 활성 상태 | 활성 상태 |
| 사용자에 의해 암호가 변경됨 | 해지 | 해지 | 활성 상태 | 활성 상태 | 활성 상태 |
| 사용자가 SSPR 수행 | 해지 | 해지 | 활성 상태 | 활성 상태 | 활성 상태 |
| 관리자가 암호를 재설정합니다(Azure Portal) | 해지 | 해지 | 활성 상태 | 활성 상태 | 활성 상태 |
| 관리자가 암호를 재설정합니다(Microsoft Entra 관리 센터) | 해지 | 해지 | 활성 상태 | 해지 | 해지 |
| 관리자가 암호를 재설정합니다(M365 관리 센터) | 해지 | 해지 | 활성 상태 | 해지 | 해지 |
| 사용자가 새로 고침 토큰을 철회합니다. | 해지 | 해지 | 해지 | 해지 | 해지 |
| 관리자가 사용자의 모든 새로 고침 토큰을 철회합니다. | 해지 | 해지 | 해지 | 해지 | 해지 |
| Single Sign-Out | 해지 | 활성 상태 | 해지 | 활성 상태 | 활성 상태 |
참고 항목
리소스 테넌트의 B2B 사용자에 대한 새로 고침 토큰은 철회되지 않습니다. 홈 테넌트에서 토큰을 철회해야 합니다.