SAASサービスの開発者です。refreshトークンの保持期間に関する質問です。
SAASサービスの開発者です。refreshトークンの保持期間に関する質問です。 ログイン情報を保持するアクセストークン。これを更新するために使われるrefreshトークンは、一般的にどれくらいの期間の保持が推奨されているのでしょうか。また、その期間はどのような理由で設定されているのでしょうか。 詳しい方いらっしゃいましたら教えていただけると幸いです。
暗号と認証・7閲覧
ベストアンサー
アクセストークンは分単位、リフレッシュトークンは月単位くらいのようです。 ただし、アクセストークンの有効期限切れでリフレッシュすると、リフレッシュトークンも新しくなるのが通例で、リフレッシュトークンの有効期限は「最後に使ってから」の期間です。 アクセストークンは短時間で更新させないと不正アクセスや他の端末でのパスワード変更などに短時間で対応できないからです。 リフレッシュトークンはどのくらいの頻度で再ログインさせるかで決まります。
質問者からのお礼コメント
ありがとうございます! 同一リフレッシュトークン保持期間の目安は、再ログインさせ直したい期間ということですね。 利便性とセキュリティ性のトレードオフな関係だと思いますが、1ヶ月という期間はなにか妥当性があるものなのでしょうか。
お礼日時:2020/11/19 10:39
