OAuth 2.0 Tokens

Die wichtigsten Tokens in OAuth 2.0 sind Access-Tokens.

Access-Token

• erlaubt Zugriff auf geschützte Resourcen

• wird im Auftrag des Resource-Owner vom Authorization-Server ausgegeben

• sollte nie öffentlich sein

  • nicht geeignet für SPAs
  • auf Smartphones so ablegen, das keine anderen Anwendungen darauf zugreifen können

• https://www.oauth.com/oauth2-servers/access-tokens/

Refresh-Token

• mit einem Refresh-Token können neue Access-Token ausgestellt werden

• typisch ist eine lange Lebenszeit

• nicht mit Implicit Flow und Client Credential Flow zu verwenden.

• https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/

Abgrenzung von OpenID

OpenId unterscheidet zwischen Access-Tokens (für Resource-Server um Zugriff zu gewähren) und Id-Tokens (für Clients um Nutzer zu identifizieren).