Anti-Pattern: Aktualisierungstokens ausstellen, ohne Aktualisierungsablauf aufzurufen

Sie lesen gerade die Dokumentation zu Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen.

Mit Aktualisierungstokens werden neue Zugriffstoken abgerufen, nachdem das ursprüngliche Zugriffstoken abgelaufen oder widerrufen wurde. Aktualisierungstoken werden optional mit einigen Grant-Typen zusammen mit Zugriffstoken ausgegeben.

Anti-Pattern

Aktualisierungstokens können entweder von Apigee oder über externe Ressourcen ausgestellt werden. Dies ist jedoch ein Antimuster, wenn das Aktualisierungstoken nie über den Vorgang „RefreshAccessToken“ verwendet wird.

Auswirkungen

Das Speichern von Aktualisierungstokens wirkt sich unnötig negativ auf die Leistung und Zuverlässigkeit des Authentifizierungssystems aus.

Best Practice

Wenn das Aktualisierungstoken nie benötigt wird

Wenn keine Aktualisierungstokens erforderlich sind, sollten Entwickler beim Generieren neuer Zugriffstokens die Granttypen „Clientanmeldedaten“ oder „implizit“ verwenden. Bei diesen Grant-Typen werden keine Aktualisierungstokens ausgestellt. Das ist sinnvoll, wenn die Funktion für Aktualisierungstokens nicht erforderlich ist.

Wenn der Proxy nur Lesevorgänge mit Aktualisierungstokens ausführt

Apigee bietet GetOAuthV2Info, mit dem Aktualisierungstoken-Attribute abgerufen werden können. Entwickler sollten diese Richtlinie nicht zum Validieren von Aktualisierungstokens verwenden. Es ist ein Antimuster, wenn das Aktualisierungstoken nie gegen ein neues Zugriffstoken eingetauscht wird. Apigee kann mit externen Zugriffs- und Aktualisierungstokens arbeiten. Wenn der Ablauf des Aktualisierungstokens außerhalb von Apigee erfolgt, wird dringend empfohlen, den Vorgang „RefreshAccessToken“ zu verwenden, damit alle importierten Aktualisierungstokens, die nicht mehr gültig sind, ordnungsgemäß aus dem Apigee-System entfernt werden.

Weitere Informationen

Zugriffstoken aktualisieren