Entry № 1023
刷新令牌(Refresh Token)
刷新令牌(Refresh Token) 是什么?
刷新令牌(Refresh Token)用于在 OAuth 2.0 授权服务器上换取新短期访问令牌的长期凭据,无需用户再次登录。
刷新令牌使应用能够在访问令牌过期后继续维持会话。客户端将其发送至授权服务器的 /token 端点,换取新的访问令牌(并可选地获得轮换后的刷新令牌)。因其授权长期访问,需严格保护:存储于 HttpOnly Cookie 或安全飞地、与客户端和设备绑定、每次使用都轮换,并检测重放(发现旧令牌被再次使用时撤销整条链)。绝不应暴露给浏览器 JavaScript。移动端与 SPA 流程应遵循 OAuth 2.1,使用 PKCE 与轮换。
● 示例
- 01
通过 POST /oauth/token 且 grant_type=refresh_token 刷新访问令牌。
- 02
轮换式刷新令牌:同一旧令牌出现两次时服务器作废整条链。
● 常见问题
刷新令牌(Refresh Token) 是什么?
用于在 OAuth 2.0 授权服务器上换取新短期访问令牌的长期凭据,无需用户再次登录。 它属于网络安全的 身份与访问 分类。
刷新令牌(Refresh Token) 是什么意思?
用于在 OAuth 2.0 授权服务器上换取新短期访问令牌的长期凭据,无需用户再次登录。
如何防御 刷新令牌(Refresh Token)?
针对 刷新令牌(Refresh Token) 的防御通常结合技术控制与运营实践,详见上方完整定义。