リフレッシュトークンの有効期限の動作
Apr 8, 2025
API Access Management
Okta Classic Engine
Okta Identity Engine
Overview
この記事は、リフレッシュトークンの動作を明確にすることを目的としています。これは、リフレッシュトークンが無効または期限切れであることを示すHTTP 400エラーが発生し、/tokenエンドポイントまたはユーザーがアプリケーションから自動的にサインアウトされる理由である可能性があります。
Applies To
- OIDCアプリケーション
- 認可コード
- リソース所有者のパスワード
Solution
認証を受けてリフレッシュトークンを受け取った後、トークンの有効期限はリフレッシュトークンのライフタイムに基づきます。リフレッシュトークンが使用され、新しいリフレッシュトークンが提供された場合、リフレッシュトークンの有効期限は以前のトークンと同じままです。リフレッシュトークンの有効期限は、イントロスペクションエンドポイントを使用して決定できます。
Org Authorization Serverでは、リフレッシュトークンのライフタイムは常に90日であり、リフレッシュトークンのアイドル時間はありません。
カスタム認可サーバーでは、これを10分から5年の間に変更するか、ライフタイムなし(無制限)に設定できます。また、一定期間使用しないとトークンが期限切れになるという設定もあります。つまり、アクセストークンとリフレッシュトークンは、その時間内にローテーションされなければ自動的に期限切れになります。
以下は、カスタム認可サーバーのアクセスポリシーの例と、このポリシーに基づくアクセストークンとリフレッシュトークンのライフタイムに関する詳細を示しています。
- 返されるアクセストークンは、最大10分間しか有効ではありません。10分が経過するとアクセストークンの有効期限が切れるため、リフレッシュトークンを使用して新しいアクセストークンを取得する必要があります。このトークンは10分間有効です。
- リフレッシュトークンの合計有効期間は45分です。初期認証から45分が経過すると、リフレッシュトークンは期限切れになります。この時点で、ユーザーは新しいトークンセットに対して再認証を求められます。
- リフレッシュトークンが30分以内に使用されない場合、トークンは期限切れになり、ユーザーは新しいトークンセットに対して再認証する必要があります。
注:アイドルリフレッシュトークンのライフタイム(有効期限切れウィンドウ)は、アクセストークンのライフタイムとリフレッシュトークンのライフタイムの間で設定する必要があります。
