Azure AD Refresh et Access Token et révocation

Access et Refresh Token Azure AD

Petit rappel sur les Token Azure et leurs utilisations, sans rentrer dans trop de détails techniques:

• Les Refresh Tokens sont délivrés aux clients (Refresh Token pour les clients lourds type outlook, teams, etc / Cookie de session pour les Browsers Web) après authentification auprès d’Azure AD. ils permettent à ces applications de demander des Access Tokens.

• Ces Refresh Token ont une durée de vie longue.

• Les applications, Browser ou clients lourds présentent un Access Token à la ressource qu’ils tentent d’accéder.

• Les Access Tokens ont une durée de vie très faible (1h)

 Voici une petite présentation récapitulant de manière simplifiée l’utilisation de Jeton d’accès dans Azure AD.

Quand un Refresh Token est-il révoqué ?

Nous avons compris que c’est le Refresh Token qui conditionne l'acquisition des Access Tokens, c’est donc celui ci qui peut/doit etre invalidé pour demander une nouvelle ré-authentification de l’utilisateur.

Voici un tableau récapitulatif des différentes actions amenant ou non à la révocation du Refresh Token (ou cookie de session si on parle du Navigateur.)