Refresh Token
Was ist Refresh Token?
Refresh TokenLanglebige Credential, mit der ein Client neue kurzlebige Access Tokens beim OAuth-2.0-Authorization-Server holt, ohne dass der Nutzer sich neu anmeldet.
Refresh Tokens halten eine Sitzung uber die Lebensdauer des Access Tokens hinaus aufrecht. Der Client tauscht ihn am Token-Endpoint des Authorization Servers gegen einen frischen Access Token (und optional einen rotierten Refresh Token) ein. Weil sie langfristigen Zugriff geben, brauchen sie starken Schutz: Speicherung in HttpOnly-Cookies oder sicheren Enklaven, Bindung an Client und Gerat, Rotation bei jeder Verwendung und Replay-Erkennung (gesamte Kette bei Wiederverwendung widerrufen). Sie durfen niemals fur Browser-JavaScript zuganglich sein. Mobile- und SPA-Flows verlangen laut OAuth 2.1 PKCE und Rotation.
● Beispiele
- 01
POST /oauth/token mit grant_type=refresh_token zum Erneuern des Access Tokens.
- 02
Rotation: Der Server invalidiert die ganze Kette, wenn ein alter Token zweimal vorgelegt wird.
● Häufige Fragen
Was ist Refresh Token?
Langlebige Credential, mit der ein Client neue kurzlebige Access Tokens beim OAuth-2.0-Authorization-Server holt, ohne dass der Nutzer sich neu anmeldet. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Refresh Token?
Langlebige Credential, mit der ein Client neue kurzlebige Access Tokens beim OAuth-2.0-Authorization-Server holt, ohne dass der Nutzer sich neu anmeldet.
Wie funktioniert Refresh Token?
Refresh Tokens halten eine Sitzung uber die Lebensdauer des Access Tokens hinaus aufrecht. Der Client tauscht ihn am Token-Endpoint des Authorization Servers gegen einen frischen Access Token (und optional einen rotierten Refresh Token) ein. Weil sie langfristigen Zugriff geben, brauchen sie starken Schutz: Speicherung in HttpOnly-Cookies oder sicheren Enklaven, Bindung an Client und Gerat, Rotation bei jeder Verwendung und Replay-Erkennung (gesamte Kette bei Wiederverwendung widerrufen). Sie durfen niemals fur Browser-JavaScript zuganglich sein. Mobile- und SPA-Flows verlangen laut OAuth 2.1 PKCE und Rotation.
Wie schützt man sich gegen Refresh Token?
Schutzmaßnahmen gegen Refresh Token kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- identity-access№ 007
Access Token
Kurzlebige Credential, ausgestellt vom Authorization Server, mit der ein Client geschutzte Ressourcen einer API im Namen eines Nutzers oder Dienstes aufruft.
- identity-access№ 574
JWT (JSON Web Token)
Kompaktes, URL-sicheres Token-Format (RFC 7519) mit signierten JSON-Claims; weit verbreitet als Access Token, ID Token und Sitzungscontainer.
- identity-access№ 749
OAuth 2.0
Offenes Autorisierungs-Framework, mit dem ein Ressourceninhaber einer Drittanwendung beschränkten, scoped Zugriff auf eine API gewähren kann, ohne Zugangsdaten preiszugeben.
- identity-access№ 760
OpenID Connect (OIDC)
Identitätsschicht auf Basis von OAuth 2.0, mit der Clients über signierte ID Tokens die Nutzeridentität verifizieren und Basisprofildaten abrufen können.
- identity-access№ 1018
Session-Management
Die Gesamtheit der Kontrollen, die eine authentifizierte Sitzung ausstellen, pflegen, erneuern und widerrufen und so die Identität des Nutzers bis zu Logout oder Ablauf an nachfolgende Anfragen binden.
- identity-access№ 088
Bearer Token
Opake oder strukturierte Credential (RFC 6750), die allein durch Besitz Zugriff auf eine Ressource gewahrt - ohne Nachweis, dass der Trager der rechtmassige Inhaber ist.