Краткий ответ

Refresh token — это отдельный токен, который используется для безопасного обновления access token без необходимости повторной аутентификации пользователя. Он продлевает сессию, минимизируя риск компрометации учетных данных.

Как это работает

В системе аутентификации с использованием JWT, access token — это краткоживущий токен, который предоставляет доступ к защищённым ресурсам. По истечении его срока действия необходим новый токен. Вместо повторного ввода логина и пароля, клиент отправляет refresh token на сервер, чтобы получить новый access token.

Access token обычно имеет небольшой срок действия (например, 15 минут).
Refresh token живёт дольше (например, несколько дней или недель).

refresh token хранится безопасно и используется только для запроса новых access token, снижая риск кражи учетных данных.

Тип токена	Цель	Время жизни	Использование
Access token	Доступ к ресурсам	Короткий (минуты)	Передаётся с каждым запросом
Refresh token	Обновление access token	Длинный (дни/недели)	Используется для обновления токена

Пример

1. Пользователь входит в систему, получает access token и refresh token.
2. Через 15 минут access token истекает.
3. Клиент отправляет refresh token на сервер.
4. Сервер проверяет refresh token и выдает новый access token.
5. Пользователь продолжает работу без повторного входа.

Что важно знать на собеседовании

Refresh token позволяет обновлять access token без повторной аутентификации.
Он повышает безопасность, так как access token имеет короткий срок жизни.
Refresh token должен храниться защищённо и не передаваться в открытом виде.
При утечке refresh token возможна компрометация сессии, поэтому его нужно своевременно отзывать.
В системах с JWT часто реализуют механизмы отзыва refresh token для дополнительной безопасности.

Тема: Безопасность и авторизация | Уровень: junior

Роль refresh token в механизме обновления JWT

Краткий ответ

Развёрнуто

Краткий ответ

Как это работает

Пример

Что важно знать на собеседовании