Refresh Token
¿Qué es Refresh Token?
Refresh TokenCredencial de larga duracion usada para obtener nuevos access tokens de corta vida en un servidor OAuth 2.0 sin que el usuario vuelva a iniciar sesion.
Los refresh tokens permiten a una aplicacion mantener la sesion mas alla de la caducidad de un access token. El cliente lo intercambia en el endpoint /token del servidor de autorizacion y recibe un access token nuevo (y opcionalmente un refresh rotado). Como conceden acceso prolongado, requieren proteccion fuerte: almacenamiento en cookies HttpOnly o enclaves seguros, vinculacion al cliente y dispositivo, rotacion en cada uso y deteccion de replay (revocar toda la cadena ante reuso). Nunca deben quedar accesibles para JavaScript del navegador. Los flujos moviles y SPA deben usar PKCE y rotacion segun OAuth 2.1.
● Ejemplos
- 01
POST /oauth/token con grant_type=refresh_token para renovar el access token.
- 02
Refresh rotativo: el servidor invalida toda la cadena si un token antiguo se presenta dos veces.
● Preguntas frecuentes
¿Qué es Refresh Token?
Credencial de larga duracion usada para obtener nuevos access tokens de corta vida en un servidor OAuth 2.0 sin que el usuario vuelva a iniciar sesion. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Refresh Token?
Credencial de larga duracion usada para obtener nuevos access tokens de corta vida en un servidor OAuth 2.0 sin que el usuario vuelva a iniciar sesion.
¿Cómo funciona Refresh Token?
Los refresh tokens permiten a una aplicacion mantener la sesion mas alla de la caducidad de un access token. El cliente lo intercambia en el endpoint /token del servidor de autorizacion y recibe un access token nuevo (y opcionalmente un refresh rotado). Como conceden acceso prolongado, requieren proteccion fuerte: almacenamiento en cookies HttpOnly o enclaves seguros, vinculacion al cliente y dispositivo, rotacion en cada uso y deteccion de replay (revocar toda la cadena ante reuso). Nunca deben quedar accesibles para JavaScript del navegador. Los flujos moviles y SPA deben usar PKCE y rotacion segun OAuth 2.1.
¿Cómo defenderse de Refresh Token?
Las defensas contra Refresh Token combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- identity-access№ 007
Token de acceso (Access Token)
Credencial de corta duracion emitida por un servidor de autorizacion que el cliente presenta a una API para acceder a recursos protegidos en nombre del usuario o servicio.
- identity-access№ 574
JWT (JSON Web Token)
Formato compacto y seguro para URL (RFC 7519) que lleva claims JSON firmadas; muy usado como token de acceso, ID token y contenedor de sesion.
- identity-access№ 749
OAuth 2.0
Marco abierto de autorización que permite al propietario de un recurso conceder a una aplicación de terceros acceso limitado y delimitado a una API, sin compartir credenciales.
- identity-access№ 760
OpenID Connect (OIDC)
Capa de identidad construida sobre OAuth 2.0 que permite a los clientes verificar la identidad de un usuario y obtener información de perfil mediante tokens ID firmados.
- identity-access№ 1018
Gestión de sesiones
Conjunto de controles que emiten, mantienen, renuevan y revocan una sesión autenticada, vinculando la identidad del usuario a las peticiones posteriores hasta el cierre o la caducidad.
- identity-access№ 088
Token portador (Bearer Token)
Credencial opaca o estructurada (RFC 6750) que concede acceso a un recurso solo por su posesion, sin prueba de que el portador sea el legitimo.