Päivitystoken

Päivitystoken on autentikointiväylän (authorization server) antama tunniste, jota käytetään yhdessä pääsytokenin (access token) kanssa. Sen ensisijainen tehtävä on mahdollistaa uusien pääsytokenien hankkiminen ilman käyttäjän uudelleen todennusta. Kun alkuperäinen pääsytoken vanhenee tai on vanhentumassa, asiakas voi pyytää uuden pääsytokenin token-endpointiin käyttämällä grant_type=refresh_token -pyyntöä ja antamalla päivitystokenin. Vastauksena palvelin voi antaa uuden pääsytokenin ja usein myös uuden päivitystokenin, mikä mahdollistaa pitkän aikavälin toiminnan ilman jatkuvaa käyttäjävuorovaikutusta.

Käyttö ja elinkaari: Pääsytoken on lyhytaikainen ja suunniteltu suorittamaan API-kutsuja, kun taas päivitystoken kestää pidempään ja

Turvallisuus: Päivitystokenin kavaltaminen antaa mahdollisuuden hankkia uusia pääsytokenia. Siksi niiden säilytys, käyttöoikeuksien rajoittaminen, revokointi sekä kiertoprotokollat

Käytännön huomioita: Päivitystokenin hallinta kuuluu osana kokonaisvaltaista identiteetti- ja turvallisuusarkkitehtuuria. Palveluntarjoajat voivat asettaa ehtoja sille, miten