Я использую endpoint/oauth2/token для запроса (через HTTP POST) токена-маркера аутентификации от Azure Active Directory. Все настраивается в AAD для регистрации веб-клиента, который извлекает этот токен с помощью этого потока. Используется client_id и client_secret (общий симметричный ключ), и я успешно получаю json-ответ, содержащий токен-маркер jwt для auth.Контроль истечения токена аутентификации с использованием потока учетных данных клиента Azure Active Directory
То, что я пытаюсь понять, состоит в том, чтобы знать, как мы можем настроить истечение срока действия токена за истечение 1 часа, который, как представляется, находится на токене, который я получаю через этот запрос POST. Общий ключ, который я создал на классическом портале Azure AD, имеет истечение 2 года. Однако возвращаемый токен имеет 1 час истечения срока действия.
Исходя из этого, я предполагаю, что способ, которым работает этот поток (по крайней мере, до AAD), заключается в том, что нашему веб-клиенту необходимо запланировать себя, чтобы повторно отправить запрос на новый токен аутентификации в пределах 1hr, чтобы обеспечить свежесть токена аутентификации, используемого для аутентифицированных вызовов REST, выполненных веб-клиентом. Я предполагаю, что это могло бы также уловить исключение, если ранее выпущенный токен терпит неудачу, а затем сделать новый запрос (это только детали реализации ...).
Это нормальный способ сохранения токена аутентификации, обновленного для этого потока? Я знаю, что с большинством других потоков генерируется токен обновления, и «танец» OAuth может быть выполнен, чтобы сохранить токен аутентификации. ADAL прекрасно описывает все эти детали, но в этом случае я использую поток учетных данных клиента и используя HTTP-запрос POST для конечной точки oauth2/token и в этом потоке (в соответствии с RFC OAuth2) токен обновления не предоставляется. ]
Я предположил, что возможно было бы установить более длительный срок действия на токен OAuth, возможно, даже неопределенный токен для этого сценария клиентского или серверного клиента. Возможно ли это в настройках Azure AD?
Документ, связанный в Azure AD token lifetime config, предполагает, что сроки жизни могут быть конфигурируемы.
Во втором чтении этого документа (теперь более 1 года), который я связал, похоже, эта функция настройки времени доступа к токенам находится в общедоступном предварительном просмотре AAD и может быть ограничена AAD Premium, когда она выходит за пределы предварительный просмотр. Спасибо за разъяснение, что нет неопределенных токенов. Любая идея, если эта функция теперь стала частью бесплатного уровня AAD? – retail3r
Он доступен на свободном уровне, но я не могу сказать, останется ли он таким. Обновленный ответ с примерами. – juunas
Juunas - Большое спасибо за предоставление примеров - с командлетами Powershell и т. Д. – retail3r