Silent Token-Refresh fuer ablaufende Sessions #88

Closed
opened 2026-06-22 18:56:22 +00:00 by niboer · 0 comments
Owner

Das session_token (Access-Token aus Keycloak) laueft nach wenigen Minuten ab. Ein refresh_token wird bereits im Callback gespeichert, aber nie verwendet.

Ziel: Silent Refresh des session_token via refresh_token, bevor der User eine 401 sieht.

Umsetzung:

  1. In hooks.server.ts: Bei jedem Request JWT-exp pruefen
  2. Falls Token ablaeuft oder abgelaufen ist -> refresh via Keycloak-Token-Endpoint
  3. Bei erfolgreichem Refresh: Cookies ersetzen, Request fortsetzen
  4. Bei fehlgeschlagenem Refresh: Cookies loeschen, Redirect zu /

Betroffene Datei: frontend/src/hooks.server.ts

Das session_token (Access-Token aus Keycloak) laueft nach wenigen Minuten ab. Ein refresh_token wird bereits im Callback gespeichert, aber nie verwendet. Ziel: Silent Refresh des session_token via refresh_token, bevor der User eine 401 sieht. Umsetzung: 1. In hooks.server.ts: Bei jedem Request JWT-exp pruefen 2. Falls Token ablaeuft oder abgelaufen ist -> refresh via Keycloak-Token-Endpoint 3. Bei erfolgreichem Refresh: Cookies ersetzen, Request fortsetzen 4. Bei fehlgeschlagenem Refresh: Cookies loeschen, Redirect zu / Betroffene Datei: frontend/src/hooks.server.ts
Sign in to join this conversation.
No description provided.