Refresh Token
O que é Refresh Token?
Refresh TokenCredencial de longa duracao usada para obter novos access tokens de curta duracao num servidor OAuth 2.0 sem novo login do utilizador.
Os refresh tokens permitem a uma aplicacao manter a sessao alem da expiracao do access token. O cliente troca-o no endpoint /token do servidor de autorizacao e recebe um access token novo (e, opcionalmente, um refresh rotacionado). Como concedem acesso prolongado, exigem protecao forte: armazenamento em cookies HttpOnly ou enclaves seguros, vinculacao ao cliente e dispositivo, rotacao a cada uso e detecao de replay (revogar toda a cadeia se um token antigo for reapresentado). Nunca devem ficar acessiveis ao JavaScript do navegador. Fluxos moveis e SPA devem usar PKCE e rotacao conforme OAuth 2.1.
● Exemplos
- 01
POST /oauth/token com grant_type=refresh_token para renovar o access token.
- 02
Rotacao: o servidor invalida a cadeia se um token antigo for apresentado duas vezes.
● Perguntas frequentes
O que é Refresh Token?
Credencial de longa duracao usada para obter novos access tokens de curta duracao num servidor OAuth 2.0 sem novo login do utilizador. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Refresh Token?
Credencial de longa duracao usada para obter novos access tokens de curta duracao num servidor OAuth 2.0 sem novo login do utilizador.
Como funciona Refresh Token?
Os refresh tokens permitem a uma aplicacao manter a sessao alem da expiracao do access token. O cliente troca-o no endpoint /token do servidor de autorizacao e recebe um access token novo (e, opcionalmente, um refresh rotacionado). Como concedem acesso prolongado, exigem protecao forte: armazenamento em cookies HttpOnly ou enclaves seguros, vinculacao ao cliente e dispositivo, rotacao a cada uso e detecao de replay (revogar toda a cadeia se um token antigo for reapresentado). Nunca devem ficar acessiveis ao JavaScript do navegador. Fluxos moveis e SPA devem usar PKCE e rotacao conforme OAuth 2.1.
Como se defender contra Refresh Token?
As defesas contra Refresh Token costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- identity-access№ 007
Access Token
Credencial de curta duracao emitida por um servidor de autorizacao que o cliente apresenta a uma API para aceder a recursos protegidos em nome do utilizador ou servico.
- identity-access№ 574
JWT (JSON Web Token)
Formato de token compacto e seguro para URL (RFC 7519) que transporta claims JSON assinadas; usado como access token, ID token e contentor de sessao.
- identity-access№ 749
OAuth 2.0
Framework aberto de autorização que permite ao dono de um recurso conceder a uma aplicação terceira acesso limitado a uma API sem partilhar credenciais.
- identity-access№ 760
OpenID Connect (OIDC)
Camada de identidade construída sobre OAuth 2.0 que permite aos clientes verificar a identidade de um utilizador e obter dados básicos de perfil através de ID tokens assinados.
- identity-access№ 1018
Gestão de sessões
Conjunto de controlos que emitem, mantêm, renovam e revogam uma sessão autenticada, ligando a identidade do utilizador aos pedidos subsequentes até ao logout ou expiração.
- identity-access№ 088
Bearer Token (token ao portador)
Credencial opaca ou estruturada (RFC 6750) que concede acesso a um recurso apenas por posse, sem prova de que o portador e o legitimo dono.