OAuth 更新令牌

datatracker.ietf.org/doc/html/rfc6749#section-1.5

OAuth 更新令牌是一串字串，OAuth 用戶端可以使用它在沒有使用者互動的情況下取得新的存取令牌。

公開和機密用戶端都可以使用更新令牌。如果發給公開用戶端的更新令牌被竊取，攻擊者可以偽裝成該用戶端，而且在未被偵測的情況下使用更新令牌。也可以使用 DPoP 將更新令牌連結到公開用戶端執行個體，這可以對抗這種攻擊。機密用戶端必須針對授權伺服器進行驗證才能使用更新令牌，因此對這種類型的用戶端而言，遭竊風險較低。

更新令牌不應讓用戶端獲得超越原始授權範圍的任何權限。更新令牌的存在是為了讓授權伺服器能為存取令牌使用較短的生命週期，而無需在令牌到期時讓使用者參與。

相關內容

• OAuth 2.0 存取令牌

更多資源

• 更新存取令牌 (oauth.com)
• 更新令牌：它們是什麼，以及何時使用它們 (auth0.com)