通过 Web 浏览器向 Microsoft Entra ID 进行身份验证时,该过程涉及多个 Cookie。 某些 Cookie 在所有请求中通用。 其他 Cookie 用于特定的身份验证流或特定的客户端条件。
持久会话令牌作为持久性 Cookie 存储在 Web 浏览器的 Cookie jar 上。 非持久性会话令牌作为会话 Cookie 存储在 Web 浏览器上,在浏览器会话关闭时销毁。
| Cookie 名称 | 类型 | 注释 |
|---|---|---|
| ESTSAUTH | 通用 | 包含用于辅助 SSO 的用户会话信息。 暂时。 |
| ESTSAUTHPERSISTENT | 通用 | 包含用于辅助 SSO 的用户会话信息。 永久性的。 |
| ESTSAUTHLIGHT | 通用 | 包含会话 GUID 信息。 专门由客户端 JavaScript 使用的精简会话状态 Cookie,用于辅助 OIDC 注销。安全功能。 |
| SignInStateCookie | 通用 | 包含为方便注销而访问的服务列表。无用户信息。 安全功能。 |
| CCState | 通用 | 包含要在 Microsoft Entra ID 和 Microsoft Entra 备份身份验证服务之间使用的会话信息状态。 |
| buid | 通用 | 跟踪浏览器相关信息。 用于服务遥测和保护机制。 |
| fpc | 通用 | 跟踪浏览器相关信息。 用于跟踪请求和限制。 |
| esctx | 通用 | 会话上下文 Cookie 信息。 用于 CSRF 保护。 将请求绑定到特定的浏览器实例,使得无法在浏览器外部重播请求。 无用户信息。 |
| ch | 通用 | ProofOfPossessionCookie。 将所有权证明 Cookie 哈希存储到用户代理。 |
| ESTSSC | 通用 | 不再使用包含会话计数信息的旧 Cookie。 |
| ESTSSSOTILES | 通用 | 跟踪会话注销。当存在且未过期,且值为“ESTSSSOTILES=1”时,它会针对特定 SSO 身份验证模型中断 SSO,并会显示用于用户帐户选择的磁贴。 |
| AADSSOTILES | 通用 | 跟踪会话注销。类似于 ESTSSSOTILES,但针对其他特定的 SSO 身份验证模型。 |
| ESTSUSERLIST | 通用 | 跟踪浏览器 SSO 用户的列表。 |
| SSOCOOKIEPULLED | 通用 | 防止在特定方案中循环。 无用户信息。 |
| cltm | 通用 | 用于遥测目的。 跟踪 AppVersion、ClientFlight 和网络类型。 |
| brcap | 通用 | 客户端 Cookie(由 JavaScript 设置),用于验证客户端/Web 浏览器的触控功能。 |
| clrc | 通用 | 客户端 Cookie(由 JavaScript 设置),用于控制客户端上的本地缓存会话。 |
| CkTst | 通用 | 客户端 Cookie(由 JavaScript 设置)。 不再处于活动使用状态。 |
| wlidperf | 通用 | 客户端 Cookie(由 JavaScript 设置),出于性能目的跟踪本地时间。 |
| x-ms-gateway-slice | 通用 | 用于跟踪和负载均衡目的的 Microsoft Entra 网关 Cookie。 |
| stsservicecookie | 通用 | 同样用于跟踪目的的 Microsoft Entra 网关 Cookie。 |
| x-ms-refreshtokencredential | 特定 | 在使用 主刷新令牌 (PRT) 时可用。 |
| estsStateTransient | 特定 | 仅适用于新的会话信息模型。 暂时。 |
| estsStatePersistent | 特定 | 与 estsStateTransient 相同,但具有持久性。 |
| ESTSNCLOGIN | 特定 | 与国家云登录相关的 Cookie。 |
| UsGovTraffic | 特定 | US Gov 云流量 Cookie。 |
| ESTSWCTXFLOWTOKEN | 特定 | 在重定向到 ADFS 时保存 flowToken 信息。 |
| CcsNtv | 特定 | 控制 Microsoft Entra 网关何时向 Microsoft Entra 备份身份验证服务发送请求。 本机流。 |
| CcsWeb | 特定 | 控制 Microsoft Entra 网关何时向 Microsoft Entra 备份身份验证服务发送请求。 Web 流。 |
| Ccs* | 特定 | 带前缀 Ccs* 的 Cookie 与不带前缀的 Cookie 具有相同的用途,但这仅在使用 Microsoft Entra 备份身份验证服务时适用。 |
| threxp | 特定 | 用于限制控制。 |
| rrc | 特定 | 用于识别最近的 B2B 邀请兑换的 Cookie。 |
| debug | 特定 | 用于跟踪是否为 DebugMode 启用了用户的浏览器会话的 Cookie。 |
| MSFPC | 特定 | 此 Cookie 并非特定于任何 ESTS 流,但有时存在。 它适用于所有 Microsoft 站点(当用户接受时)。 识别访问 Microsoft 站点的唯一 Web 浏览器。 它用于广告、站点分析和其他运营目的。 |
注意
识别为客户端 Cookie 的 Cookie 由 JavaScript 在客户端设备上本地设置,因此将使用 HttpOnly=false 进行标记。
Cookie 定义和相应名称随时可能会根据 Microsoft Entra 服务要求进行更改。
若要详细了解自助式密码重置概念,请参阅 Microsoft Entra 自助式密码重置的工作原理。
若要详细了解多重身份验证概念,请参阅 Microsoft Entra 多重身份验证的工作原理。