Refresh Token
OAuth
で使われるトークンの1つ。
Opaque形式
。
Access Token
の有効期限が切れたとき、
Client
が
Authorization Server
の
Token Endpoint
から新しいAccess Tokenをもらうためのもの。
これをRefreshというのでこの名前。
Access Tokenは有効期限を短くし、頻繁にRefreshすることでAccess Tokenが漏れた時の被害を抑えることができる。
期限は長い。10〜数十日程度。
標準仕様では必須とされず、発行されないこともある。
RefreshTokenを保存しておくといつでもAccessTokenをいつでも使うことができるので
offline_access
という
Scope
が指定された時だけ発行されるのが一般的。