Home

fornyelsestoken

Fornyelsestoken, ofte kalt refresh token, er en type credential brukt i moderne autentiserings‑ og autorisasjonssystemer som OAuth 2.0 og OpenID Connect. Det utstedes vanligvis sammen med et tilgangstoken etter vellykket brukerautentisering og har som formål å muliggjøre innhenting av nye tilgangstokens uten at brukeren må logge inn på nytt.

Slik fungerer det vanligvis: Når et tilgangstoken nærmer seg utløp, sendes fornyelsestokenet i et forespørsel til

Sikkerhet og praktiske hensyn: Fornyelsestokens levetid er ofte lengre enn tilgangstokens, og de må derfor lagres

Bruksområder og begrensninger: Fornyelsestoken er vanlig i nettbaserte applikasjoner og mobile applikasjoner som bruker OAuth 2.0

Se også: OAuth 2.0, OpenID Connect, tilgangstoken, token-endepunkt, PKCE, token­revoking.

autorisasjonsserverens
token-endepunkt
med
grant_type=refresh_token.
Dersom
tokenet
er
gyldig
og
ikke
svartelistet,
utstedes
et
nytt
tilgangstoken,
og
i
mange
implementasjoner
også
et
nytt
fornyelsestoken
(rotasjon)
for
å
redusere
risikoen
ved
kompromittering.
sikkert
på
klienten
og
beskyttes
mot
lekkasje.
De
sendes
vanligvis
bare
over
sikre
forbindelser
(TLS)
og
kan
tilbakekalles
av
serveren
ved
mistanke
om
misbruk.
God
praksis
inkluderer
angivelse
av
konsekvent
revokering,
overvåkning
av
misbruksmønstre
og
bruk
av
tokenbinding
eller
klient‑/enhetsbegrensninger.
Authorization
Code‑flow
eller
PKCE,
og
som
trenger
langvarig
tilgang
uten
kontinuerlig
innlogging.
En
del
offentlige
klienter
får
ikke
fornyelsestoken,
eller
bruker
kortere
levetid,
for
å
begrense
risikoen
ved
skadas.
Rotasjon
av
tokens
er
et
vanlig
sikkerhetsforbedrende
trekk.