OAuthリフレッシュ・トークン

datatracker.ietf.org/doc/html/rfc6749#section-1.5

OAuthリフレッシュ・トークンは、OAuthクライアントがユーザーの操作なしで新しいアクセストークンを取得するために使用できる文字列です。

パブリックと機密のどちらのクライアントでも、リフレッシュ・トークンを使用できます。パブリッククライアントに発行されたリフレッシュ・トークンが盗まれた場合、攻撃者はクライアントになりすまし、検出されずにリフレッシュ・トークンを使用できます。また、DPoPを使用してリフレッシュ・トークンをパブリッククライアントインスタンスにバインドしてこの攻撃に対抗することもできます。機密クライアントは、リフレッシュ・トークンを使用するために認証サーバーに対して認証を行う必要があるため、このタイプのクライアントでは盗まれたリフレッシュ・トークンのリスクが低くなります。

リフレッシュ・トークンは、クライアントが元の認可の範囲を超えてアクセスを獲得できるようにしてはなりません。リフレッシュ・トークンは、認証サーバーがアクセス・トークンに短い有効期間を使用できるようにするために存在し、トークンが期限切れになったときにユーザーを関与させる必要はありません。

関連

• OAuth 2.0アクセストークン

追加リソース

• リフレッシュ・アクセストークン (oauth.com)
• リフレッシュ・トークン: その仕組みと使用方法 (auth0.com)