لماذا يجب استخدام Refresh token ؟

يتعلق هذا بشكل وثيق بطبيعة نوع آخر من رموز token هو رمز الوصول access token. 

عندما يقوم المستخدم بتسجيل الدخول، يصدر خادمنا رمز وصول، وهو بشكله البسيط رمز أو سلسلة نصية تستعمل للوصول إلى خادم الواجهة البرمجية API. فعندما يحتاج العميل إلى الوصول إلى الموارد المحمية على الخادم، فإن هذا الرمز يسمح له بذلك. من هذا المنطق، يجب أن تخضع هاته الرموز إلى قواعد حماية عالية.

من بين استراتيجيات الأمان توجد تلك التي تنص على إنشاء رموز وصول ذات عمر قصير، بمعنى أنها صالحة فقط لفترة قصيرة محددة من حيث الساعات أو الأيام. وبالتالي فإن العميل يحتاج دوما امتلاك رموز وصول غير منتهية الصلاحية.

من بين طرق إنتاج رمز وصول جديد، يوجد طريقة التحديث عن طريق إنشاء رمز تحديث للعميل يتيح له استبدال رمز وصول منتهي الصلاحية بآخر جديد. هذا الرمز هو ما يعرف بـ refresh token. يعني هذا أن العملاء لن يجبروا على إعادة تسجيل الدخول وكل عملية التحديث ستحدث خلف الكواليس. 

وفيما يلي طريقة عمله وكيفية حمايته للموارد:

1. يطلب العميل رمز وصول عن طريق المصادقة مع خادم نسميه خادم الترخيص Authorization Server وهو جهة أو خدمة أو واجهة في واجهتنا الخلفية تقوم بتولي عمليات الترخيص والتوثيق وتوليد رموز الوصول. 
2. يقوم خادم الترخيص بمصادقة العميل والتحقق من صحة منح الترخيص، فإذا كان صالحًا ،يقوم هذا الخادم بإصدار رمز وصول ورمز مميز للتحديث.
3. يقوم العميل بتقديم طلب مورد محمي إلى خادم يخزن المورد نسميه خادم المورد Resource Server من خلال تقديم رمز وصول access token. هذا الخادم هو جهة أو خدمة أو واجهة في واجهتنا الخلفية تقوم بتولي عمليات تقديم الموارد وعرضها وإدارتها.
4. يتحقق خادم المورد Resource Server من رمز الوصول Access token، وإذا كان صالحًا، فإنه يخدم الطلب.
5. يتم تكرير الخطوتين 3 و 4 حتى تنتهي صلاحية رمز الوصول.
6. في حالة انتهاء صلاحية رمز الوصول، يقوم خادم المورد Resource Server بإرجاع خطأ رمز غير صالح.
7. في هاته الحالة يطلب العميل رمز وصول جديد من خلال المصادقة مع خادم الترخيص  Authorization Server وتقديم رمز التحديث إليه.
8. يقوم خادم الترخيص Authorization Server بمصادقة طلب العميل والتحقق من صحة رمز التحديث، وإذا كان صالحًا، فإنه يصدر رمز وصول جديد. وهكذا.. 

تنبيه بشأن خطأ في الصورة: رمز وصول وليس رمز توصيل.