Zum Hauptinhalt springen

Refresh Token

Neben dem JWT Access Token erstellt die Platrona Backend API nach einer erfolgreichen Anmeldung zusätzlich einen Refresh Token.

Der Refresh Token ermöglicht es, einen neuen Access Token zu erhalten, ohne dass sich der Benutzer erneut anmelden muss.

Dadurch bleibt die Anmeldung komfortabel, ohne auf Sicherheit zu verzichten.


Ablauf


Aufgabe

Der Refresh Token dient ausschließlich dazu, einen neuen Access Token anzufordern.

Er ersetzt niemals den Access Token selbst.


Lebensdauer

Die Gültigkeitsdauer eines Refresh Tokens ist deutlich länger als die eines Access Tokens.

Dadurch muss sich der Benutzer nicht regelmäßig erneut anmelden.

Die genaue Lebensdauer kann je nach Sicherheitsanforderungen angepasst werden.


Sicherheit

Refresh Tokens werden besonders geschützt.

Folgende Prüfungen erfolgen unter anderem:

  • Token gültig
  • Token nicht abgelaufen
  • Benutzerkonto aktiv
  • Sitzung vorhanden
  • Token gehört zur aktuellen Sitzung

Ungültige oder manipulierte Refresh Tokens werden sofort abgelehnt.


Vorteile

Die Kombination aus Access Token und Refresh Token bietet mehrere Vorteile:

  • Höhere Sicherheit
  • Komfortable Anmeldung
  • Kürzere Lebensdauer des Access Tokens
  • Geringeres Risiko bei kompromittierten Access Tokens

API-Endpunkt

POST /auth/refresh

Antwort

{
"access_token": "...",
"token_type": "bearer"
}

Zugehörige Dokumentation

  • Login
  • JWT
  • Session Management
  • Logout

Refresh Tokens ermöglichen eine sichere Verlängerung der Anmeldung, ohne dass der Benutzer seine Zugangsdaten erneut eingeben muss.