Entry № 1023
リフレッシュトークン
リフレッシュトークン とは何ですか?
リフレッシュトークンユーザーの再ログインなしに、OAuth 2.0 認可サーバーから新しい短命なアクセストークンを取得するために用いる長命の資格情報。
リフレッシュトークンは、アクセストークンの有効期限を超えてセッションを維持するためのものです。クライアントは認可サーバーの /token エンドポイントでそれを提示し、新しいアクセストークン(必要に応じてローテーションされたリフレッシュトークン)を受け取ります。長期間のアクセスを与えるため、HttpOnly Cookie や安全な領域での保管、クライアント・デバイスへの紐づけ、使用ごとのローテーション、リプレイ検出(古いトークンが再提示されたらチェーン全体を失効)が必要です。ブラウザ JavaScript からは決してアクセスできないようにします。モバイルや SPA では OAuth 2.1 に従い PKCE とローテーションを使ってください。
● 例
- 01
POST /oauth/token に grant_type=refresh_token を付けてアクセストークンを更新する。
- 02
ローテーション運用:同じ旧トークンが二度提示されるとサーバーがチェーン全体を失効させる。
● よくある質問
リフレッシュトークン とは何ですか?
ユーザーの再ログインなしに、OAuth 2.0 認可サーバーから新しい短命なアクセストークンを取得するために用いる長命の資格情報。 サイバーセキュリティの ID とアクセス カテゴリに属します。
リフレッシュトークン とはどういう意味ですか?
ユーザーの再ログインなしに、OAuth 2.0 認可サーバーから新しい短命なアクセストークンを取得するために用いる長命の資格情報。
リフレッシュトークン からどのように防御しますか?
リフレッシュトークン に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。