🔐 Refresh Token vs Access Token શું છે?
જ્યારે આપણે કોઈ Web App અથવા Mobile App માટે authentication implement કરીએ છીએ, ત્યારે અમે Mostly JWT (JSON Web Token) નો ઉપયોગ કરીએ છીએ. JWT બે પ્રકારના tokens આપે છે:
- Access Token
- Refresh Token
આ બંને tokens security અને user authentication માટે મહત્વપૂર્ણ છે, પણ તેમની વચ્ચે ફરક છે. ચાલો step-by-step સમજીએ…
🔑 Access Token શું છે?
Access Token એ એક Temporary Token છે, જે User login કર્યા પછી Server દ્વારા generate થાય છે. એ tokenનો ઉપયોગ કરીને user પોતાનું identity verify કરી શકે છે જ્યારે એ secure API endpoints access કરે છે.
📌 મુખ્ય લક્ષણો:
- Validity/Expiry: સામાન્ય રીતે 15 minutes to 1 hour
- Use: API endpoints access કરવા માટે
- Stored in: Mostly LocalStorage અથવા Memory
- Lightweight and Fast
🎯 ઉદાહરણ:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6...🔄 Refresh Token શું છે?
Refresh Token એ Long-term token છે, જે access token expire થઇ જાય ત્યારે એક નવો access token લાવવા માટે ઉપયોગ થાય છે. એટલે કે, user ને ફરીથી login કરવાની જરૂર નથી પડતી.
📌 મુખ્ય લક્ષણો:
- Validity: Days to Months સુધી હોઈ શકે
- Use: New Access Token માટે
- Stored in: Mostly HTTP-Only Cookies
- High Security Required
🎯 ઉદાહરણ Workflow:
- User login કરે છે → Server access અને refresh token આપે છે.
- Access token expire થાય છે.
- Client refresh token સાથે request મોકલે છે.
- Server નવી access token આપે છે.
🔍 Access Token vs Refresh Token વચ્ચેનો તફાવત
| Point | Access Token | Refresh Token |
|---|---|---|
| 🔐 Purpose | API access માટે | New access token મેળવવા |
| ⏰ Validity | Short (minutes) | Long (days/months) |
| 🛡️ Storage | LocalStorage / Memory | HTTP-only cookies |
| 🧪 Security Risk | ઓછું | વધુ (if leaked) |
| 🔁 Refresh Option | Not Possible | Yes, used to get new access token |
🧠 શું Refresh Token વગર કામ ચાલે?
હા, કેટલાક simple apps માટે Refresh token જરૂરી નથી. પણ production-level secure applications માટે Refresh token હોવો અત્યંત જરૂરી છે, કેમ કે એ seamless login experience આપે છે.
🚀 Best Practices
- Access Token should be short-lived.
- Refresh Token should be stored securely (HTTP-only cookies).
- Use HTTPS always.
- On logout, invalidate both tokens.
- Implement Token Rotation for extra security.
🔚 નિષ્કર્ષ
Access Token એ authentication માટે immediate access આપે છે, જ્યારે Refresh Token user session maintain કરવા માટે મદદરૂપ છે. બંને tokens એક system ના wheels ની જેમ છે – એક ન હોય તો authentication system half-secure બની જાય.
📈 FAQ – Refresh vs Access Token
Q. Refresh Token expire થાય તો શું થાય?
👉 User ને ફરીથી login કરાવવું પડશે.
Q. Refresh Token dangerous છે?
👉 જો leak થાય તો attacker unlimited access મેળવી શકે છે. તેથી તેને HTTP-only cookies માં જ store કરો.
Q. Access token manually refresh કરી શકાય?
👉 નહી, એ auto-expire થાય છે અને Refresh token ની જરૂર પડે છે.
📢 Conclusion
હવે તમારે સ્પષ્ટ ખબર પડી ગઈ હશે કે Refresh Token vs Access Token શું છે અને બંનેનો role system માં શું છે. હંમેશા security ને ધ્યાનમાં રાખીને tokens implement કરો.
