OAuth 刷新令牌

datatracker.ietf.org/doc/html/rfc6749#section-1.5

OAuth 刷新令牌是 OAuth 客户端可在不经用户交互的情况下用来获取新访问令牌的一个字符串。

公共和机密客户端 都可以使用刷新令牌。如果颁发给公共客户端的刷新令牌被盗，攻击者可以冒充客户端并在不被检测到的情况下使用刷新令牌。还可以使用 DPoP 将刷新令牌绑定到公共客户端实例，从而可以应对此类攻击。机密客户端需要向授权服务器进行身份验证才能使用刷新令牌，因此对这类客户端而言，刷新令牌被盗的风险较低。

刷新令牌不得允许客户端获得超出原始授权范围的任何权限。刷新令牌的存在是为了允许授权服务器在令牌过期时无需涉及用户就能使用短时间访问令牌。

相关

• OAuth 2.0 访问令牌

更多资源

• 刷新访问令牌 (oauth.com)
• 刷新令牌：它们是什么以及何时使用它们 (auth0.com)