Antipadrão: emitir tokens de atualização sem invocar o fluxo de atualização
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Esta é a documentação da Apigee e da Apigee híbrida.
Confira a documentação da Apigee Edge.
Os tokens de atualização são usados para receber novos tokens de acesso depois que o token de acesso
original expirar ou for revogado. Os tokens de atualização podem ser emitidos junto com os tokens de acesso com alguns dos tipos de concessão.
Antipadrão
Os tokens de atualização podem ser emitidos pela Apigee ou por recursos externos.
No entanto, isso é um antipadrão se o token de atualização nunca for usado pela
operação RefreshAccessToken.
Impacto
A persistência de tokens de atualização afeta negativamente a performance
e a confiabilidade do sistema de autenticação.
Prática recomendada
Se o token de atualização nunca for necessário
Se os tokens de atualização não forem necessários, os desenvolvedores precisarão usar os tipos de concessão "credenciais do cliente" ou "implícito" ao gerar novos tokens de acesso.
Esses tipos de concessão não emitem tokens de atualização, o que é desejável se a
funcionalidade do token de atualização não for necessária.
Se o proxy executar apenas a operação de leitura com tokens de atualização
A Apigee oferece
GetOAuthV2Info, que pode ser usado para recuperar os atributos do token de
atualização. Os desenvolvedores não devem usar essa política para validar tokens de atualização.
É um antipadrão que o token de atualização nunca é usado para trocar por um
novo token de acesso. A Apigee pode funcionar com
tokens de acesso e de atualização externos. Se o fluxo de token de atualização acontecer
fora da Apigee, é altamente recomendável usar a operação RefreshAccessToken
para que todos os tokens de atualização importados que não forem mais válidos sejam removidos
corretamente do sistema da Apigee.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-05 UTC."],[],[],null,["# Antipattern: Issuing refresh tokens without invoking refresh flow\n\n*You're viewing **Apigee** and **Apigee hybrid** documentation.\nView [Apigee Edge](https://docs.apigee.com/api-platform/antipatterns/issuing-refresh-tokens) documentation.*\n\n\nRefresh tokens are used to obtain new access tokens after the original access\ntoken has expired or been revoked. Refresh tokens are optionally issued along\nwith access tokens with some of the grant types.\n\nAntipattern\n-----------\n\n\nRefresh tokens can be issued either by Apigee or via external resources.\nHowever, this is an antipattern if the refresh token is never used via the\nRefreshAccessToken operation.\n\nImpact\n------\n\n\nPersisting refresh tokens unnecessarily negatively impacts both performance\nand reliability of the authentication system.\n\nBest practice\n-------------\n\n### If the refresh token is never needed\n\n\nIf refresh tokens are not needed, developers should use the 'client\ncredentials' or 'implicit' grant types when generating new access tokens.\nThese grant types do not issue refresh tokens, which is desirable if the\nrefresh token functionality is not required.\n\n### If the proxy performs only read operation with refresh tokens\n\n\nApigee offers\n[GetOAuthV2Info](https://cloud.google.com/apigee/docs/api-platform/reference/policies/get-oauth-v2-info-policy#refresh-token) which can be used to retrieve refresh token\nattributes. Developers should not use this policy to validate refresh tokens.\nIt is an antipattern that the refresh token is never used to exchange for a\nnew access token. Note that Apigee can work with\n[external access and refresh tokens](/apigee/docs/api-platform/security/oauth/use-third-party-oauth-system). If the refresh token flow happens\noutside of Apigee, it's highly recommended to use the RefreshAccessToken\noperation such that any imported refresh tokens no longer valid are properly\nremoved from the Apigee system.\n\nFurther reading\n---------------\n\n[Refreshing an access token](/apigee/docs/api-platform/security/oauth/access-tokens#refreshinganaccesstoken)"]]
