リフレッシュトークンの継続利用設定

概要


OAuth 2.0 の「リフレッシュトークングラント」では、クライアントは認可サーバーに対し、事前に発行されたリフレッシュトークンを送信し、アクセストークン発行を要求します。リフレッシュトークンが有効な場合、認可サーバーは新たなアクセストークンを発行し、クライアントに返却します。

この際に利用されたリフレッシュトークンの取り扱いについては、「継続使用しない(無効化する)」「継続使用する(無効化しない)」という 2 通りの選択肢があります。

Authlete では、設定により、どちらにも対応可能です。それぞれの特性について以下に説明します。

継続使用しない場合


認可サーバーは、アクセストークンと共に新たなリフレッシュトークンを発行し、両方をクライアントに返却します。リクエストに利用されたリフレッシュトークンについては無効化します。

リフレッシュトークンが新しくなるごとに、結果的に、アクセストークンのリフレッシュが可能な期間は延長されます。
refreshing-refresh-tokens-01_ja.png 52.13 KB

継続使用する場合


認可サーバーはリフレッシュトークンを無効化せずにアクセストークンを発行し、クライアントに返却します。クライアントは同じリフレッシュトークンを次回のリフレッシュ要求に用います。

トークンのリフレッシュが可能な期間は、最初のリフレッシュトークンが有効な間に限定されます。

設定


Authlete サービスの「トークン」タブにある「リフレッシュトークン継続使用」にて、「継続使用する」「継続使用しない」のいずれかを選択します。
image.png 23.76 KB


実行例


以下は、クライアントからの、リフレッシュトークン  (<refresh_token_1>)  を用いたトークンリクエストに対して、Authlete がどのようなレスポンスを返却するかの例です。

  • リクエスト
認可サーバーは、Authlete の /auth/token API に、リフレッシュトークンを含むトークンリクエストを処理するよう、リクエストを送信します。以下は curl を用いる例です。(読みやすさのために折り返しています)

curl -s -X POST .../auth/token
 -u $apiKey:$apiSecret
 -H 'Content-type: application/json'
 -d '{"clientId":"...",
      "clientSecret":"...",
      "parameters":
        "grant_type=refresh_token
         &refresh_token=<refresh_token_1>"}'

  • 「継続使用しない」場合のレスポンス
新たなリフレッシュトークン (<refresh_token_2>) を発行・返却します。また、有効期間は初期化されます(この例では 900 秒)。

{
  "type": "tokenResponse",
  "resultCode": "A053001",
  "resultMessage": 
   "[A053001] The token request (grant_type=refresh_token)
      was processed successfully.",
  "accessToken": "...",
  "action": "OK",
  "grantType": "REFRESH_TOKEN",
  "refreshToken": "<refresh_token_2>",
  "refreshTokenDuration": 900,
  "refreshTokenExpiresAt": ...,
  "responseContent": 
    "{\"access_token\":\"...\",
      \"refresh_token\":\"<refresh_token_2>\",
      \"scope\":\"payment\",
      \"token_type\":\"Bearer\",
      \"expires_in\":300}",
  "scopes": [
    "payment"
  ],
  "subject": "testuser01",
  ...
}

  • 「継続使用する」場合のレスポンス
リクエストに用いたものと同一のリフレッシュトークン (<refresh_token_1>) を返却します。有効期間は初期化されません(この例では残り 332 秒)。

{
  "type": "tokenResponse",
  "resultCode": "A053001",
  "resultMessage": 
   "[A053001] The token request (grant_type=refresh_token)
      was processed successfully.",
  "accessToken": "...",
  "action": "OK",
  "grantType": "REFRESH_TOKEN",
  "refreshToken": "<refresh_token_1>",
  "refreshTokenDuration": 332,
  "refreshTokenExpiresAt": ...,
  "responseContent": 
    "{\"access_token\":\"...\",
      \"refresh_token\":\"<refresh_token_1>\",
      \"scope\":\"payment\",
      \"token_type\":\"Bearer\",
      \"expires_in\":300}",
  "scopes": [
    "payment"
  ],
  "subject": "testuser01",
  ...
}

How did we do with this article?