Token Yenileme Nedir?

İngilizce: Token Refresh

Token yenileme, kısa ömürlü erişim token'ı bittiğinde güvenli refresh token ile oturumu kesmeden yeni erişim token'ı alma sürecidir.

Token Yenileme Nedir?

Token yenileme, kullanıcının tekrar şifre girmeden oturumunun devam etmesini sağlayan kimlik doğrulama akışıdır. Genellikle kısa ömürlü access token API çağrılarında kullanılır; daha uzun ömürlü refresh token ise yalnızca yeni access token almak için saklanır.

Nasıl Çalışır?

Tipik akış şöyledir:

  1. Kullanıcı giriş yapar ve sunucu access token ile refresh token üretir.
  2. Uygulama API isteklerinde access token gönderir.
  3. Access token süresi dolduğunda istemci refresh endpoint’ine gider.
  4. Refresh token geçerliyse yeni access token, çoğu mimaride yeni refresh token ile birlikte verilir.

JWT kullanan sistemlerde access token kısa süreli tutulur; OAuth2 akışlarında refresh token yetkisi kapsam ve istemci türüne göre sınırlandırılır.

Güvenlikte Dikkat Edilecekler

Refresh token çalınırsa saldırgan uzun süre yeni erişim token’ı alabilir. Bu nedenle token rotation, reuse detection, cihaz bazlı oturum kaydı ve iptal mekanizması önemlidir. Web uygulamalarında HttpOnly, Secure ve SameSite cookie kullanımı; mobilde işletim sistemi güvenli depolaması tercih edilmelidir.