Refresh Token
¿Qué es Refresh Token?
Refresh TokenCredencial de larga duracion usada para obtener nuevos access tokens de corta vida en un servidor OAuth 2.0 sin que el usuario vuelva a iniciar sesion.
Los refresh tokens permiten a una aplicacion mantener la sesion mas alla de la caducidad de un access token. El cliente lo intercambia en el endpoint /token del servidor de autorizacion y recibe un access token nuevo (y opcionalmente un refresh rotado). Como conceden acceso prolongado, requieren proteccion fuerte: almacenamiento en cookies HttpOnly o enclaves seguros, vinculacion al cliente y dispositivo, rotacion en cada uso y deteccion de replay (revocar toda la cadena ante reuso). Nunca deben quedar accesibles para JavaScript del navegador. Los flujos moviles y SPA deben usar PKCE y rotacion segun OAuth 2.1.
● Ejemplos
- 01
POST /oauth/token con grant_type=refresh_token para renovar el access token.
- 02
Refresh rotativo: el servidor invalida toda la cadena si un token antiguo se presenta dos veces.
● Preguntas frecuentes
¿Qué es Refresh Token?
Credencial de larga duracion usada para obtener nuevos access tokens de corta vida en un servidor OAuth 2.0 sin que el usuario vuelva a iniciar sesion. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Refresh Token?
Credencial de larga duracion usada para obtener nuevos access tokens de corta vida en un servidor OAuth 2.0 sin que el usuario vuelva a iniciar sesion.
¿Cómo defenderse de Refresh Token?
Las defensas contra Refresh Token combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.