Refresh Token
Neben dem JWT Access Token erstellt die Platrona Backend API nach einer erfolgreichen Anmeldung zusätzlich einen Refresh Token.
Der Refresh Token ermöglicht es, einen neuen Access Token zu erhalten, ohne dass sich der Benutzer erneut anmelden muss.
Dadurch bleibt die Anmeldung komfortabel, ohne auf Sicherheit zu verzichten.
Ablauf
Aufgabe
Der Refresh Token dient ausschließlich dazu, einen neuen Access Token anzufordern.
Er ersetzt niemals den Access Token selbst.
Lebensdauer
Die Gültigkeitsdauer eines Refresh Tokens ist deutlich länger als die eines Access Tokens.
Dadurch muss sich der Benutzer nicht regelmäßig erneut anmelden.
Die genaue Lebensdauer kann je nach Sicherheitsanforderungen angepasst werden.
Sicherheit
Refresh Tokens werden besonders geschützt.
Folgende Prüfungen erfolgen unter anderem:
- Token gültig
- Token nicht abgelaufen
- Benutzerkonto aktiv
- Sitzung vorhanden
- Token gehört zur aktuellen Sitzung
Ungültige oder manipulierte Refresh Tokens werden sofort abgelehnt.
Vorteile
Die Kombination aus Access Token und Refresh Token bietet mehrere Vorteile:
- Höhere Sicherheit
- Komfortable Anmeldung
- Kürzere Lebensdauer des Access Tokens
- Geringeres Risiko bei kompromittierten Access Tokens
API-Endpunkt
POST /auth/refresh
Antwort
{
"access_token": "...",
"token_type": "bearer"
}
Zugehörige Dokumentation
- Login
- JWT
- Session Management
- Logout
Refresh Tokens ermöglichen eine sichere Verlängerung der Anmeldung, ohne dass der Benutzer seine Zugangsdaten erneut eingeben muss.