Refresh Token
Qu'est-ce que Refresh Token ?
Refresh TokenCredential a longue duree utilisee pour obtenir de nouveaux access tokens a courte duree aupres d'un serveur d'autorisation OAuth 2.0 sans relogin de l'utilisateur.
Les refresh tokens permettent a une application de prolonger une session au-dela de l'expiration d'un access token. Le client l'echange sur l'endpoint /token du serveur d'autorisation et recoit un nouvel access token (et eventuellement un refresh token rotatif). Comme ils donnent un acces durable, ils exigent une forte protection: stockage en cookies HttpOnly ou enclaves securises, liaison au client et a l'appareil, rotation a chaque usage, detection du replay (revoquer toute la chaine en cas de reuse). Ils ne doivent jamais etre exposes au JavaScript du navigateur. Les flux mobile et SPA doivent appliquer PKCE et rotation selon OAuth 2.1.
● Exemples
- 01
POST /oauth/token avec grant_type=refresh_token pour renouveler l'access token.
- 02
Rotation: le serveur invalide la chaine si un ancien token est presente deux fois.
● Questions fréquentes
Qu'est-ce que Refresh Token ?
Credential a longue duree utilisee pour obtenir de nouveaux access tokens a courte duree aupres d'un serveur d'autorisation OAuth 2.0 sans relogin de l'utilisateur. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Refresh Token ?
Credential a longue duree utilisee pour obtenir de nouveaux access tokens a courte duree aupres d'un serveur d'autorisation OAuth 2.0 sans relogin de l'utilisateur.
Comment fonctionne Refresh Token ?
Les refresh tokens permettent a une application de prolonger une session au-dela de l'expiration d'un access token. Le client l'echange sur l'endpoint /token du serveur d'autorisation et recoit un nouvel access token (et eventuellement un refresh token rotatif). Comme ils donnent un acces durable, ils exigent une forte protection: stockage en cookies HttpOnly ou enclaves securises, liaison au client et a l'appareil, rotation a chaque usage, detection du replay (revoquer toute la chaine en cas de reuse). Ils ne doivent jamais etre exposes au JavaScript du navigateur. Les flux mobile et SPA doivent appliquer PKCE et rotation selon OAuth 2.1.
Comment se défendre contre Refresh Token ?
Les défenses contre Refresh Token combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- identity-access№ 007
Access Token (jeton d'acces)
Credential a courte duree emise par un serveur d'autorisation, presentee par le client a une API pour acceder aux ressources protegees au nom d'un utilisateur ou service.
- identity-access№ 574
JWT (JSON Web Token)
Format de token compact et URL-safe (RFC 7519) portant des claims JSON signees, tres utilise comme access token, ID token et conteneur de session.
- identity-access№ 749
OAuth 2.0
Cadre ouvert d'autorisation permettant au propriétaire d'une ressource d'accorder à une application tierce un accès limité à une API sans partager d'identifiants.
- identity-access№ 760
OpenID Connect (OIDC)
Couche d'identité construite au-dessus d'OAuth 2.0, permettant aux clients de vérifier l'identité d'un utilisateur et d'obtenir un profil de base via un jeton ID signé.
- identity-access№ 1018
Gestion des sessions
Ensemble de contrôles qui émettent, maintiennent, rafraîchissent et révoquent une session authentifiée, liant l'identité de l'utilisateur aux requêtes suivantes jusqu'à la déconnexion ou l'expiration.
- identity-access№ 088
Bearer Token (token au porteur)
Credential opaque ou structure (RFC 6750) qui accorde l'acces a une ressource par simple possession, sans preuve que le porteur en est le proprietaire legitime.