En ADFS 4.0, un token de actualización no se puede renegar sin pasar por un flujo de solicitud de autorización (solicitando al usuario nuevamente las credenciales) y no se puede revocar.
Estoy obligado a poner un período de vida de 1 año para el token de actualización para evitar que el usuario ingrese su nombre de usuario / contraseña cada vez que caduque el token de actualización.
¿Cuál es el riesgo si un usuario malintencionado roba este token de actualización con un año de caducidad?
Si un usuario o atacante tiene un token de actualización, entonces pueden solicitan un token de acceso y luego acceden a cualquier recurso protegido. Esta es la definición de tokens de actualización / acceso. También tendrían acceso durante todo el año, aunque incluso si solo lo tuvieran por un día, podrían hacer el mismo daño. Incluso con tiempos de vencimiento muy cortos, si pudieran obtener un token en primer lugar, podrían replicar lo que hicieron la primera vez para obtener más tokens.
Ahora, ¿alguien puede obtener el token de actualización? No a menos que su computadora ya esté comprometida. Lo más probable es que ADFS lo bloquee de forma remota mediante métodos de cookies seguras / solo HTTP, lo que obligará a que se transmitan a través de una conexión cifrada y evitará fugas de JS (las plataformas que no sean web tendrán protecciones similares). Si alguien puede acceder físicamente a la computadora y ver la cookie, entonces de todos modos es mejor que solo descarguen un keylogger.