クライアント シークレットとは、認証サーバーと通信するために使用する秘密鍵のことです。クライアント シークレットの例: 1912308468823890 

リフレッシュ トークンの制限は次のとおりです。

  • ローテーション不可:有効期限がないため、使用方法に制限はありません。
  • ローテーション可:使用方法に次の制限があります。
    • 定義されている期限を過ぎると再利用できなくなります。
    • 定義されている有効期間内に 1 回しか使用できません。
    • 有効期間は固定されており、すべてのリフレッシュ対象トークン間で共有されます。 
    • 次のローテーション可能なリフレッシュ トークンの生成に失敗すると、最新のリフレッシュ トークンは無効になります。

例:  

  1. 有効期間を 10 分に設定します。
  2. OAuth を完了し、アクセス トークンを生成してトークン「A」をリフレッシュします。
  3. 5 分後、リフレッシュ トークン A を使用して新しいアクセス トークンとリフレッシュ トークン B を生成します。
  4. 7 分後、リフレッシュ トークン B を使用して新しいアクセス トークンを取得します。トークン B の有効期限は A が生成された時点から計算されるため、トークン B の有効期限が切れたことを示すエラーが表示されます。

リフレッシュ トークンを発行し、以前のトークンを無効化するにはクライアント シークレットをローテーションします。こうすることでセキュリティが強化されます。 

シークレットのローテーションを行う手順は以下のとおりです。

  1. メイン メニューから [OAuth Clients] を選択します。
  2.  リストからクライアントを選択します。
  3. [Refresh token behavior] の下で以下のいずれかを選択します。
    • Non-rotatable
    • Rotatable
  4. [Refresh token lifetime] を指定します。以下のいずれかを実行します。
    • 値を直接入力する。
    • 行の末尾にある矢印を使用して、トークンの有効期限を増減させる。

注記: 12 時間のトークンのデフォルト値は 43,200 秒です。トークンの最長有効期限は 365 日です。これについては、自社のセキュリティ ポリシーを参照してください。

Right-side inspector with enable client and Refresh token behavior displayed.