Refresh-токен
Что такое Refresh-токен?
Refresh-токенДолгоживущая учётка, через которую клиент получает новые короткоживущие access-токены у сервера OAuth 2.0 без повторного входа пользователя.
Refresh-токены позволяют приложению поддерживать сессию после истечения access-токена. Клиент обменивает его на /token-эндпоинте сервера авторизации на новый access-токен (и, при ротации, новый refresh-токен). Поскольку они дают долгий доступ, требуется серьёзная защита: хранение в HttpOnly-cookie или защищённых анклавах, привязка к клиенту и устройству, ротация при каждом использовании и обнаружение replay (отзыв всей цепочки при повторном предъявлении старого токена). Их нельзя открывать браузерному JavaScript. Мобильные и SPA-потоки должны применять PKCE и ротацию согласно OAuth 2.1.
● Примеры
- 01
POST /oauth/token с grant_type=refresh_token для обновления access-токена.
- 02
Ротация: сервер инвалидирует цепочку, если старый токен предъявлен дважды.
● Частые вопросы
Что такое Refresh-токен?
Долгоживущая учётка, через которую клиент получает новые короткоживущие access-токены у сервера OAuth 2.0 без повторного входа пользователя. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Refresh-токен?
Долгоживущая учётка, через которую клиент получает новые короткоживущие access-токены у сервера OAuth 2.0 без повторного входа пользователя.
Как работает Refresh-токен?
Refresh-токены позволяют приложению поддерживать сессию после истечения access-токена. Клиент обменивает его на /token-эндпоинте сервера авторизации на новый access-токен (и, при ротации, новый refresh-токен). Поскольку они дают долгий доступ, требуется серьёзная защита: хранение в HttpOnly-cookie или защищённых анклавах, привязка к клиенту и устройству, ротация при каждом использовании и обнаружение replay (отзыв всей цепочки при повторном предъявлении старого токена). Их нельзя открывать браузерному JavaScript. Мобильные и SPA-потоки должны применять PKCE и ротацию согласно OAuth 2.1.
Как защититься от Refresh-токен?
Защита от Refresh-токен обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- identity-access№ 007
Access-токен
Короткоживущая учётка, выдаваемая сервером авторизации; клиент предъявляет её API, чтобы получить доступ к защищённым ресурсам от имени пользователя или сервиса.
- identity-access№ 574
JWT (JSON Web Token)
Компактный URL-безопасный формат токена (RFC 7519) с подписанными JSON-утверждениями; используется как access token, ID token и контейнер сессии.
- identity-access№ 749
OAuth 2.0
Открытый фреймворк авторизации, позволяющий владельцу ресурса предоставлять стороннему приложению ограниченный и регулируемый доступ к API без передачи учётных данных.
- identity-access№ 760
OpenID Connect (OIDC)
Слой идентификации поверх OAuth 2.0, позволяющий клиентам проверять подлинность пользователя и получать базовые сведения о профиле через подписанные ID-токены.
- identity-access№ 1018
Управление сессиями
Набор средств, которые выдают, поддерживают, обновляют и отзывают аутентифицированную сессию, связывая личность пользователя с последующими запросами до выхода или истечения срока.
- identity-access№ 088
Bearer-токен
Непрозрачный или структурированный мандат (RFC 6750), дающий доступ к ресурсу самим фактом владения, без подтверждения, что обладатель — законный владелец.