Ein Refresh Token wird verwendet, um den Zugriff auf eine Anwendung oder einen Dienst aufrechtzuerhalten, ohne dass der Benutzer sich immer wieder neu anmelden muss. Nachdem ein Access Token abgelaufen ist, kann das Refresh Token dazu genutzt werden, ein neues Access Token zu erhalten, ohne dass der Benutzer seine Anmeldedaten erneut eingeben muss. Dies sorgt für eine nahtlose Benutzererfahrung und gleichzeitig für eine erhöhte Sicherheit.
Damit der Zugriff dauerhaft aufrechterhalten werden kann, muss der Anwender einen Loop in seine Anwendung einbauen, der regelmässig überprüft, ob das Access Token abgelaufen ist. Wenn das der Fall ist, wird automatisch ein neuer Access Token mithilfe des Refresh Tokens angefordert. Der Anwender erhält das Refresh Token in der Antwort eines Authentifizierungsprozesses, und dieses Token kann dann für nachfolgende Anfragen verwendet werden.
Dieser Mechanismus stellt sicher, dass der Benutzer auch bei längeren Sitzungen nicht ständig aufgefordert wird, sich neu anzumelden, während gleichzeitig sichergestellt wird, dass die Verbindung zur Anwendung sicher bleibt.
