Algolia

    Refresh Token Grant Type ใน OAuth 2.0

    Refresh Token Grant Type ใช้เมื่อแอปพลิเคชันต้องการขอ access token ใหม่โดยไม่ต้องให้ผู้ใช้ยืนยันตัวตนอีกครั้ง สิ่งนี้มีประโยชน์อย่างยิ่งสำหรับสถานการณ์ที่ access tokens มีอายุสั้นและแอปพลิเคชันต้องเข้าถึงทรัพยากรของผู้ใช้โดยไม่ต้องให้ผู้ใช้แทรกแซงซ้ำๆ Refresh token โดยทั่วไปจะได้รับพร้อมกับ access token และสามารถใช้เพื่อขอ access token ใหม่เมื่อ token ปัจจุบันหมดอายุ Refresh Token Grant Type in LoadFocus

    วิธีการทำงาน

    1. การขอ Refresh Token:
    • ในตอนแรก เมื่อผู้ใช้ยืนยันตัวตน พร้อมกับ access token เซิร์ฟเวอร์ authorization ยังให้ refresh token ด้วย Refresh token โดยปกติมีอายุยาวกว่า access token
    1. การใช้ Refresh Token:
    • เมื่อ access token หมดอายุ แทนที่จะขอให้ผู้ใช้ยืนยันตัวตนอีกครั้ง แอปพลิเคชันไคลเอนต์สามารถส่งคำขอไปยังเซิร์ฟเวอร์ authorization โดยใช้ refresh token เพื่อขอ access token ใหม่

    การกำหนดค่า Refresh Token Grant

    1. ลงทะเบียนแอปพลิเคชันของคุณ:
    • เริ่มต้นโดยลงทะเบียนแอปพลิเคชันกับผู้ให้บริการ OAuth 2.0 ตรวจสอบให้แน่ใจว่าคุณเลือก scopes และ grant types ที่ถูกต้อง ซึ่งโดยทั่วไปจะรวม authorization_code grant type
    1. คำขอ Token เริ่มต้น:
    • หลังจากผู้ใช้ยืนยันตัวตน เมื่อแอปพลิเคชันร้องขอ access token โดยใช้ authorization_code grant การตอบกลับจะรวมทั้ง access token และ refresh token หากเซิร์ฟเวอร์รองรับและถูกกำหนดค่าให้ให้ refresh tokens
    1. ขอ Access Token ใหม่:
    • เมื่อ access token หมดอายุ ส่ง POST request ไปยัง token endpoint ของเซิร์ฟเวอร์ authorization คำขอนี้ควรรวมพารามิเตอร์ grant_type ตั้งค่าเป็น "refresh_token", refresh_token ที่ได้รับก่อนหน้านี้ และอาจต้องการ client credentials ขึ้นอยู่กับการกำหนดค่าของเซิร์ฟเวอร์
    1. จัดการการตอบกลับ Token:
    • เซิร์ฟเวอร์จะตอบกลับด้วย access token ใหม่ และอาจรวม refresh token ใหม่ อัปเดต tokens ที่จัดเก็บในแอปพลิเคชันของคุณและใช้ access token ใหม่สำหรับคำขอถัดไป

    สิ่งที่ควรพิจารณา

    • อายุของ Token: แม้ refresh tokens โดยทั่วไปจะมีอายุยาวกว่า access tokens แต่ไม่ได้คงอยู่ตลอดไป เซิร์ฟเวอร์บางตัวอาจให้หมดอายุ และบางตัวอาจออก refresh token ใหม่กับทุกคำขอ refresh access token

    • ความปลอดภัย: Refresh tokens มีพลังเนื่องจากอนุญาตให้สร้าง access tokens ใหม่ จัดเก็บอย่างปลอดภัย และพิจารณาใช้กลไกเช่น rotating refresh tokens (ที่เซิร์ฟเวอร์ออก token ใหม่กับแต่ละการใช้) เพื่อเพิ่มความปลอดภัย

    • การยืนยันตัวตนใหม่: หาก refresh token หมดอายุหรือถูกเพิกถอน ผู้ใช้จะต้องยืนยันตัวตนอีกครั้ง ตรวจสอบให้แน่ใจว่าแอปพลิเคชันของคุณจัดการสถานการณ์เหล่านี้ได้อย่างราบรื่น

    สรุป

    Refresh Token Grant Type เป็นฟีเจอร์สำคัญของ OAuth 2.0 ที่ช่วยปรับปรุงประสบการณ์ผู้ใช้โดยการต่ออายุ access tokens อย่างราบรื่น อย่างไรก็ตาม นักพัฒนาต้องรับประกันการจัดการและจัดเก็บ refresh tokens อย่างปลอดภัยเพื่อปกป้องทรัพยากรและข้อมูลของผู้ใช้

    ก่อนหน้า
    Password Credentials Grant Type ใน OAuth 2.0
    ถัดไป
    ทำความเข้าใจความสำคัญของเวลาเริ่มต้นในการทดสอบโหลด