← ブログ一覧に戻る

なぜアクセストークンとリフレッシュトークンを分けるのか?

テクノロジー

Webサービスの認証において、なぜアクセストークンとリフレッシュトークンという2つのトークンを使い分けるのか、不思議に思ったことはありませんか?

よくある説明は「アクセストークンの有効期限を長くするとセキュリティリスクが高まるから」というものですが、これだと「結局リフレッシュトークンが奪われたら同じではないか?」という疑問が残りますよね。

結論から言うと、この使い分けの背景には**「パフォーマンス」と「セキュリティ」のバランス**を最適化するという重要な戦略があります。

### 1. なぜ「アクセストークン」と「リフレッシュトークン」で種類を変えるのか

この仕組みの鍵は、トークンの**「情報の持ち方」**にあります。

| トークンの種類 | 特徴 | メリット | デメリット |

|---|---|---|---|

| JWT (アクセストークン) | トークン自体にユーザー情報(ID、権限など)を内包する | サーバーがDBを見に行かなくても「誰か」がわかる。処理が爆速。 | 一度発行すると期限切れまで無効化できない。 |

| 不透明トークン (リフレッシュトークン) | ランダムな文字列。中身は空っぽ。 | サーバー側で管理するため、いつでも即座に無効化できる。 | 毎回DBやキャッシュを照会する必要があり、少し重い。 |

### 2. 使い分けの決定的な理由:パフォーマンスと即時性の両立

アクセストークンには、高速なAPI通信を実現するために「JWT」が使われることが一般的です。しかし、JWTは「発行したら最後、サーバー側で強制的に止めることができない」という弱点があります。もし万が一漏洩した場合、期限が切れるまで攻撃者に利用され続けてしまいます。

一方で、リフレッシュトークンには「不透明トークン」を使用します。これにより、以下のメリットが生まれます。

*アクセストークン(JWT)で爆速通信:** 毎回データベースを見に行く必要がないため、ユーザーはサクサク快適にサービスを利用できる。

*短期間で自動更新:** 万が一漏洩しても、アクセストークンの寿命を短く(例えば15分など)しておけば、被害を最小限に抑えられる。

*リフレッシュ時に厳重チェック:** アクセストークンの更新時にリフレッシュトークンを使用しますが、ここでサーバーは「このトークンは有効か?ユーザーはBANされていないか?」をデータベースで厳重にチェックできます。

### 3. セキュリティ戦略としての「階層構造」

整理すると、アクセストークンとリフレッシュトークンを分ける根本的な理由は以下の通りです。

1. アクセストークンは「消耗品」: 比較的緩いセキュリティレベルで、パフォーマンスを優先する。

2. リフレッシュトークンは「鍵」: 厳重に保管し、サーバー側でいつでも無効化(ブラックリスト登録など)できるように管理する。

つまり、**「頻繁に使うトークン(アクセストークン)」には機動力を与え、「更新時に使うトークン(リフレッシュトークン)」には統治権(即時無効化する力)を持たせる**という役割分担が、現代のWebセキュリティの基礎となっているのです。

この構造を理解しておくと、認証機能を設計したりトラブルシュートしたりする際に、どこで何をチェックすべきかが非常にクリアになります。ぜひ参考にしてみてください!