Digital Transformation

Refresh Token

Vito Atmo
Vito Atmo·22 Juni 2026·0 kali dibaca·2 min baca

TL;DR: Refresh token adalah kunci cadangan berumur panjang yang dipegang aplikasi untuk mendapatkan access token baru saat yang lama habis masa berlakunya. Pola ini menjaga sesi tetap aman sekaligus nyaman: access token dibuat singkat agar risiko pencurian kecil, sementara refresh token menggantinya otomatis tanpa pengguna login ulang.

Apa itu Refresh Token?

Bayangkan tiket masuk acara yang berlaku satu jam. Daripada antre lagi setiap kali tiket habis, Anda memegang kartu anggota yang bisa ditukar tiket baru di pintu kapan saja. Access token adalah tiket sekali pakai berumur pendek, sedangkan refresh token adalah kartu anggota itu.

Pola ini umum dipakai dalam autentikasi modern. Aplikasi menyimpan refresh token secara aman, lalu menukarnya dengan token akses baru di latar belakang. Pengguna tetap login berhari-hari tanpa sadar prosesnya berjalan.

Cara Kerja

LangkahYang terjadi
LoginServer memberi access token (pendek) + refresh token (panjang)
Pakai layananAplikasi mengirim access token tiap permintaan
Token habisAplikasi kirim refresh token untuk minta access token baru
Logout/curigaServer mencabut refresh token agar tak bisa dipakai lagi

Kenapa Penting?

Memisahkan dua jenis token menyeimbangkan keamanan dan kenyamanan. Jika access token bocor, kerugian terbatas karena cepat kedaluwarsa. Refresh token disimpan lebih ketat dan bisa dicabut sewaktu-waktu. Dalam praktik membangun fitur akun untuk proyek klien, pola ini menghindari dilema klasik: sesi yang terlalu pendek bikin pengguna kesal, sesi terlalu panjang berisiko. Mekanisme pembatasan seperti rate limit biasanya melengkapi endpoint penukaran token ini. Untuk keamanan cookie, baca juga soal SameSite cookie.

Pertanyaan Umum

Apa beda access token dan refresh token?

Access token berumur pendek dan dipakai di tiap permintaan ke server. Refresh token berumur panjang, jarang dikirim, dan hanya dipakai untuk menukar access token baru.

Apa yang terjadi jika refresh token dicuri?

Penyerang bisa membuat access token baru. Karena itu refresh token harus disimpan aman dan server perlu kemampuan mencabutnya, misalnya saat pengguna logout dari semua perangkat.

Bagikan