Les coûts des jetons B2C et Refresh

Question

Je ne suis pas sûr je comprends cela correctement, mais ici va:

Depuis jetons MSA et Google expirent toutes les heures, la seule façon pour mon application pour refléter les changements dans de l'utilisateur les autorisations sur le site MSA et Google seraient de rafraîchir le jeton EasyAuth B2C sur à peu près le même intervalle, non? S'ils révoquent l'accès à mon application, ils ne souhaitent probablement pas que des jetons non expirés soient disponibles pendant des jours.

Et chaque fois que j'ai besoin d'actualiser ce jeton, un autre appel de rafraîchissement est fait à B2C, puis au fournisseur d'identité, n'est-ce pas?

Et chaque fois que cela se produit, je serai facturé (en fonction de l'information sur la page de prix Azure). Donc, si mon application (c'est une application financière avec la possibilité de charger des cartes de crédit) devient populaire et échelles, les frais seront en fait assez importants, car il y aura des tonnes de connexion/rafraîchissement si tout le monde est responsable.

Ai-je raison? Des suggestions pour atténuer les frais de façon responsable?

Le magasin de jetons d'actualisation est-il purgé lorsque quelqu'un se déconnecte? Si oui, alors je pourrais juste supposer (je sais - mauvais mot) que s'ils veulent désactiver l'accès à l'application, ils se déconnectent simplement. Toute connexion ou utilisation ultérieure d'un jeton d'actualisation serait alors bloquée.

Answer 1

Depuis MSA et jetons Google expirent toutes les heures, la seule façon pour mon application pour refléter les changements dans les autorisations de l'utilisateur sur le MSA et le site Google serait pour actualiser le EasyAuth B2C jeton à peu près le même intervalle, droite?

Sur la base de ma compréhension, l'application Web utilisée le id_token pour authentifier l'utilisateur. Une fois l'application Web authentifiée, elle contient sa propre session et la durée de la session de l'application Web par défaut est de 1440 minutes, nous pouvons la configurer. Vous pouvez vous référer ici pour les détails. Et si vous utilisiez le flux OAuth 2.0 pour autoriser l'application à accéder à la ressource protégée par Azure AD, étant donné que la durée de vie du jeton est d'une heure si elle est expirée, nous devons renouveler le jeton comme indiqué.

Et chaque fois que je dois rafraîchir ce jeton, un autre appel de rafraîchissement est fait pour B2C, puis au fournisseur d'identité, droit? Et chaque fois que cela se produit, je serai facturé (en fonction de l'information sur la page de prix Azure). Donc, si mon application (c'est une application financière avec la possibilité de charger des cartes de crédit) devient populaire et échelles, les frais seront en fait assez importants, car il y aura des tonnes de connexion/rafraîchissement si tout le monde est responsable. Ai-je raison? Des suggestions pour atténuer les frais de façon responsable?

Vous aviez raison. Azure Active Directory (Azure AD) L'utilisation B2C sera facturée mensuellement en fonction du nombre total des deux: utilisateurs enregistrés, authentifications: jetons émis en réponse à une demande de connexion initiée par un utilisateur ou initiée par une application pour le compte de un utilisateur (par exemple actualisation de jeton, où l'intervalle d'actualisation est configurable).

Est-ce purgés le magasin jeton de rafraîchissement quand quelqu'un se déconnecte?Si oui, alors je pourrais juste supposer (je sais - mauvais mot) que s'ils veulent désactiver l'accès à l'application, ils se déconnectent simplement. Toute connexion ou utilisation ultérieure d'un jeton d'actualisation serait alors bloquée.

Voulez-vous dire révoquer le jeton? La déconnexion de l'application Web ne révoque pas le jeton. Azure AD ne prend pas en charge la révocation du jeton à l'heure actuelle. Cependant, nous pouvons effacer le cache de jetons si vous ne voulez pas que les utilisateurs utilisent le jeton.