Token Nedir? Access Token ve Refresh Token Nasıl Çalışır? (2026 Rehberi)

Spring Boot Latest Software Developers 15/07/2025

Token, modern API tabanlı uygulamalarda kullanıcıyı güvenli ve stateless şekilde doğrulamak için kullanılan dijital bir anahtardır. Özellikle access token ve refresh token mimarisi, OAuth2 ve JWT tabanlı sistemlerin temelini oluşturur.

İçindekiler

Token Nedir ve Neden Kullanılır?
Token Türleri: Access Token & Refresh Token
Access ve Refresh Token Akışı
Token Güvenlik Best Practices
Avantajlar ve Riskler
Sık Sorulan Sorular
Sonuç

1. Token Nedir ve Neden Kullanılır?

Token, kullanıcı doğrulandıktan sonra sunucu tarafından üretilen ve API çağrılarında kimlik doğrulama için kullanılan dijital bir kimlik anahtarıdır. Böylece kullanıcı adı ve şifre her istekte tekrar gönderilmez.

API’ler stateless çalışır
Sunucu session tutmaz
Performans ve ölçeklenebilirlik artar
Microservice mimarilere uygundur

JWT yapısı: Header, Payload ve Signature bölümleri — JWT (JSON Web Token) yapısı: Header, Payload ve Signature bileşenleri.

2. Token Türleri: Access Token ve Refresh Token

2.1 Access Token Nedir?

Access token, API isteklerinde kullanılan kısa ömürlü bir kimlik doğrulama token’ıdır. Genellikle 15–30 dakika geçerlidir.

Çoğunlukla JWT formatındadır
Authorization: Bearer <token> header’ı ile gönderilir
Süresi dolduğunda geçersiz olur

2.2 Refresh Token Nedir?

Refresh token, access token süresi dolduğunda yeni bir access token üretmek için kullanılan uzun ömürlü tokendır.

API çağrılarında kullanılmaz
Güvenli saklanmalıdır
Refresh token rotation önerilir

Authorization Bearer token HTTP header örneği — API çağrılarında access token, Authorization: Bearer header’ı ile gönderilir.

3. Access ve Refresh Token Akışı Nasıl Çalışır?

Kullanıcı giriş yapar
Sunucu access token ve refresh token üretir
API çağrıları access token ile yapılır
Access token süresi dolunca refresh token ile yenisi alınır
Güvenlik için refresh token rotation uygulanır

Bu yapı, modern OAuth2 ve JWT mimarisinin temelidir.

Spring Security JWT filter ile token doğrulama kodu — Spring Security’de JWT token doğrulama sürecini yöneten filtre yapısı.

4. Token ile Kimlik Doğrulamada Güvenlik Best Practices (2026)

Access token süresi kısa tutulmalı (15–30 dk)
Refresh token rotation uygulanmalı
Token saklama:
- Web: HttpOnly + Secure Cookie
- Mobil: Keychain / Keystore
HTTPS / TLS zorunlu olmalı
Revocation ve rate limiting uygulanmalı

5. Avantajlar ve Riskler

Avantajlar

Stateless ve hızlı kimlik doğrulama
Kısa ömürlü token ile yüksek güvenlik
Refresh token ile kesintisiz kullanıcı deneyimi

Riskler

Refresh token çalınırsa ciddi risk oluşturur
localStorage kullanımı XSS riskini artırabilir
Rotation ek mimari karmaşıklık getirir

6. Sık Sorulan Sorular (FAQ)

Access token süresi ne kadar olmalı?

Genellikle 15–30 dakika önerilir.

Refresh token rotation neden önemlidir?

Replay saldırılarını önler ve güvenliği artırır.

Access token çalınırsa ne olur?

Kısa ömürlü olduğu için risk sınırlıdır ancak revocation önerilir.

Sonuç

Token tabanlı authentication, modern API güvenliğinin temelidir. Access token ve refresh token doğru yapılandırıldığında hem güvenli hem de ölçeklenebilir sistemler oluşturabilirsiniz.

Access token’lar çoğunlukla JWT formatındadır. JWT’nin yapısı ve çalışma mantığı için JSON Web Token (JWT) rehberine göz atabilirsiniz.