OAuth 2.0: توکن تازه‌سازی Refresh Token

authorization server هنگام ارائه access token به client یک token کناری با نام refresh token به client می‌دهد. client با access token به اطلاعات resource server دسترسی دارد تا زمانی که resource server خطای انقضای توکن دهد.

در این صورت client با استفاده از refresh token درخواست access token جدید به authentication server می‌دهد. پس از اعتبار سنجی توسط authentication server توکن access token و یک refresh token جدید به client داده می‌شود.

  +--------+                                           +---------------+
  |        |--(A)------- Authorization Grant --------->|               |
  |        |                                           |               |
  |        |<-(B)----------- Access Token -------------|               |
  |        |               & Refresh Token             |               |
  |        |                                           |               |
  |        |                            +----------+   |               |
  |        |--(C)---- Access Token ---->|          |   |               |
  |        |                            |          |   |               |
  |        |<-(D)- Protected Resource --| Resource |   | Authorization |
  | Client |                            |  Server  |   |     Server    |
  |        |--(E)---- Access Token ---->|          |   |               |
  |        |                            |          |   |               |
  |        |<-(F)- Invalid Token Error -|          |   |               |
  |        |                            +----------+   |               |
  |        |                                           |               |
  |        |--(G)----------- Refresh Token ----------->|               |
  |        |                                           |               |
  |        |<-(H)----------- Access Token -------------|               |
  +--------+           & Optional Refresh Token        +---------------+
درخت مرجع: 

افزودن نظر جدید