Wat is offline toegang (Offline access)?
Het concept van offline toegang (offline access) kan variëren afhankelijk van de context. We zullen ons concentreren op de OAuth 2.0 en OpenID Connect (OIDC) specificaties. In deze context stelt offline toegang clients in staat om nieuwe toegangstokens (access tokens) te verkrijgen met behulp van een vernieuwingtokens (refresh token) zonder dat de gebruiker opnieuw hoeft te authenticeren. Deze functie is bijzonder nuttig voor langdurige sessies en een betere gebruikerservaring.
Het is het vermelden waard dat OAuth 2.0 de term “offline toegang (offline access)” niet expliciet definieert; het specificeert alleen het gebruik van vernieuwingtokens om nieuwe toegangstokens te verkrijgen. Echter, de term “offline toegang (offline access)” (samen met de offline_access scope) is breed geaccepteerd in de industrie om naar deze mogelijkheid te verwijzen, en het is officieel gedefinieerd in de OpenID Connect (OIDC) specificatie.
Hoe werkt offline toegang (Offline access)?
Voor eenvoud zullen we de OAuth 2.0 termen Autorisatieverzoek (Authorization request) en Autorisatieserver (Authorization server) gebruiken om te illustreren hoe offline toegang werkt. Hun alternatieve termen in OIDC zijn Authenticatieverzoek (Authentication request) en OpenID Provider (OP) , respectievelijk.
Er zijn twee hoofdfasen betrokken bij het benutten van offline toegang:
- Verzoeken om offline toegang: Wanneer de Client een autorisatieverzoek (authorization request) start naar de autorisatieserver (authorization server), bevat het de
offline_accessscope om offline toegang aan te vragen. Deze scope geeft aan dat de client een vernieuwingtokens (refresh token) wil ontvangen samen met het toegangstoken (access token).
De ondersteuning voor offline toegang kan variëren tussen autorisatieservers, en de autorisatieserver kan de offline_access scope negeren als het deze niet ondersteunt. Raadpleeg de documentatie van de autorisatieserver om zeker te zijn van compatibiliteit voordat deze scope wordt gebruikt.
- Het gebruik van het vernieuwingtokens (refresh token): Zodra de OAuth 2.0-toekenning (Grant) is voltooid, zou de client een Vernieuwen token (Refresh token) moeten ontvangen samen met het Toegangstoken (Access token) . De client kan het vernieuwingtokens (refresh token) veilig opslaan en gebruiken om een Tokenaanvraag (Token request) naar de autorisatieserver te sturen om een nieuw toegangstoken te verkrijgen wanneer het huidige toegangstoken verloopt.
Voor gedetailleerde voorbeelden van offline toegang in actie, raadpleeg het artikel over Vernieuwen token (Refresh token) .
Overwegingen met betrekking tot beveiliging
De beveiligingsimplicaties van offline toegang zijn vergelijkbaar met die van vernieuwingtokens. Raadpleeg de sectie Overwegingen voor beveiliging van het vernieuwingtokens voor details.