リフレッシュトークンについて

OAuth2.0のリフレッシュトークンについてまとめます。

OAuth2.0にはアクセストークン、リフレッシュトークンがあります。リフレッシュトークンについて説明する前にアクセストークンを簡単に説明します。

アクセストークン

クライアントがリソースを管理するサーバーにアクセスするために必要な情報を保持しています。サーバーはトークンに含まれている情報を使用して、クライアントが認可されているのかを確認します。アクセストークンは通常、有効期限があり存続期間は短いです。

リフレッシュトークン

リフレッシュトークンは新しいアクセストークンを取得するために必要な情報を保持しています。クライアントがリソースを管理するサーバーにアクセスする際にアクセストークンの期限が切れている場合や、初めて新しいリソースにアクセスする際に使用してアクセストークンを取得するために使用します。リフレッシュトークンにも有効期限がありますが、アクセストークンよりも存続期間が長く設定されています。

アクセストークンはリソースを管理するサーバーがトークンの内容を確認し、チェックします。それに対して、リフレッシュトークンは認可サーバーがチェックを行う必要があります。このようにトークンの種類により認可のチェックを行うサーバーが、リソースを保持するサーバー、認可サーバーと分割されることにより認可サーバーのアクセス負荷の軽減、アクセストークンの漏洩に対して短い有効期限などのメリットがあります。