ASP.NET 세션 시간 초과가 20 분 (슬라이딩) 인 경우 ID 토큰 수명 및 웹 응용 프로그램 세션 수명의 영향은 무엇입니까?Asp.net 세션 시간 초과 대 ID 토큰 만료
ID 토큰 수명이 절대적으로 표시됩니다 (기본값 60 분). 만료되면 어떻게됩니까? 다음 요청에서 트리거되는 새 인증입니까? 아니면 ID 토큰과 ASP.NET 세션이 만료 된 경우에만 발생합니까?
웹 응용 프로그램 세션 수명은 절대 또는 롤링 일 수 있습니다 (기본값 1440 분). B2C 또는 ASP.NET 응용 프로그램과 관련하여 롤링 중입니까? ID 토큰 수명과 웹 응용 프로그램 세션 수명 간의 관계는 무엇입니까? 내 이해는 ID 토큰이 만료 된 때, 웹 응용 프로그램 세션이 만료되지 않은 경우 사용자가 자신의 자격 증명을 다시 입력 할 필요가 없다는 것입니다. 맞습니까?
아래에서 언급 한 여러 가지 개념의 주요 시나리오 차이점을 설명하면서 시작하겠습니다.
ID 토큰은 : 당신이 언급했듯이, ID 토큰의 수명은 "절대"입니다 - 당신이 한 번 ID 토큰이 생성되고, 관리자 포털에 새로 생성 된 ID 토큰의 수명을 구성 할 수 있지만, 방법은 없습니다 기존 토큰의 수명을 연장합니다. 서비스의 일부 엔드 포인트에 ID 토큰을 보내고 서비스가 토큰이 만료되었다고 판단한 경우, 클라이언트는 B2C에서 새 ID 토큰을 확보해야합니다.
B2C 웹 응용 프로그램 세션 수명 : B2C의 웹 응용 프로그램 세션 수명은/authorize 끝점으로 보낸 새 권한을 UI와 상호 작용할 필요없이 처리 할 수 있는지 여부를 결정합니다. 그러나 리디렉션이 계속 발생합니다. 일반적으로 고객의 웹 앱에서 B2C의/승인 엔드 포인트로 리디렉션 한 다음 새로 작성한 ID 토큰 (새/전체 ID 토큰 수명이 있음)을 사용하여 고객의 웹 앱으로 즉각 리디렉션합니다. . 시각적으로 볼 때, 브라우저가 신속하게 지시를 받고 다시 돌아올 때 "화면 깜박임"처럼 보일 수 있습니다. 이런 경우, 웹 응용 프로그램 세션 수명 동안 "롤링"유형을 선택하면이 비 대화식 웹 응용 프로그램 세션을 새로운 (기본적으로 1440 분) 창에 사용할 수 있습니다. 반면 "절대"를 선택하면 제한 시간은 완전히 대화식 웹 세션이 마지막으로 수행 된 시간을 기반으로합니다.
앞서 언급했듯이 ASP.NET 세션이 여기에서 어떻게 작동하는지 잘 알고 있지는 않지만 관리 포털에서 언급하는 "롤링"웹 응용 프로그램은 ASP.NET이 아니라 B2C 용입니다 (우리는 특별한 ASP.NET과의 상호 작용). 내 생각 엔 ASP.NET 레이어는 여기에서 설명한 것의 맨 위에있는 추가 레이어입니다. 아마도 ASP.NET 세션은 ID 토큰이 서비스에서 요청 및 확인되는 빈도를 제어하지만 ASP.NET 팀과 관련하여 ID 토큰을 확인하는 것이 좋습니다.
아래에서 silent reauth에 대해 언급하지 않은 또 다른 시나리오는 "refresh tokens"입니다. 새로 고침 토큰 회수는 진정한 침묵입니다 (즉, 화면 깜박임 없음). 설정에 따라 기본 솔루션이 될 수 있습니다. 단일 페이지 응용 프로그램 (일명 "SPA")을 사용하는 경우 다른 옵션도 사용할 수 있습니다.
여기에서 자세한 정보를 확인할 수 있습니다. https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-apps