Refresh-токен
Что такое Refresh-токен?
Refresh-токенДолгоживущая учётка, через которую клиент получает новые короткоживущие access-токены у сервера OAuth 2.0 без повторного входа пользователя.
Refresh-токены позволяют приложению поддерживать сессию после истечения access-токена. Клиент обменивает его на /token-эндпоинте сервера авторизации на новый access-токен (и, при ротации, новый refresh-токен). Поскольку они дают долгий доступ, требуется серьёзная защита: хранение в HttpOnly-cookie или защищённых анклавах, привязка к клиенту и устройству, ротация при каждом использовании и обнаружение replay (отзыв всей цепочки при повторном предъявлении старого токена). Их нельзя открывать браузерному JavaScript. Мобильные и SPA-потоки должны применять PKCE и ротацию согласно OAuth 2.1.
● Примеры
- 01
POST /oauth/token с grant_type=refresh_token для обновления access-токена.
- 02
Ротация: сервер инвалидирует цепочку, если старый токен предъявлен дважды.
● Частые вопросы
Что такое Refresh-токен?
Долгоживущая учётка, через которую клиент получает новые короткоживущие access-токены у сервера OAuth 2.0 без повторного входа пользователя. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Refresh-токен?
Долгоживущая учётка, через которую клиент получает новые короткоживущие access-токены у сервера OAuth 2.0 без повторного входа пользователя.
Как защититься от Refresh-токен?
Защита от Refresh-токен обычно сочетает технические меры и операционные практики, как описано в определении выше.