Patrón antipatrón: Emisión de tokens de actualización sin invocar el flujo de actualización
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Estás viendo la documentación de Apigee y Apigee Hybrid.
Consulta la documentación de Apigee Edge.
Los tokens de actualización se usan para obtener nuevos tokens de acceso después de que el token de acceso original venza o se revoque. De forma opcional, los tokens de actualización se emiten junto con los tokens de acceso con algunos tipos de otorgamiento.
Antipatrón
Apigee o los recursos externos pueden emitir tokens de actualización.
Sin embargo, este es un patrón antipatrón si el token de actualización nunca se usa a través de la operación RefreshAccessToken.
Impacto
La persistencia de tokens de actualización de forma innecesaria afecta negativamente el rendimiento y la confiabilidad del sistema de autenticación.
Práctica recomendada
Si nunca se necesita el token de actualización
Si no se necesitan tokens de actualización, los desarrolladores deben usar los tipos de concesión "credenciales de cliente" o "implícito" cuando generen tokens de acceso nuevos.
Estos tipos de otorgamiento no emiten tokens de actualización, lo que es conveniente si no se requiere la funcionalidad de token de actualización.
Si el proxy solo realiza operaciones de lectura con tokens de actualización
Apigee ofrece
GetOAuthV2Info, que se puede usar para recuperar los atributos del token de actualización. Los desarrolladores no deben usar esta política para validar tokens de actualización.
Es un antipatrón que el token de actualización nunca se use para intercambiar por un nuevo token de acceso. Ten en cuenta que Apigee puede funcionar con
tokens de acceso y actualización externos. Si el flujo de tokens de actualización ocurre fuera de Apigee, se recomienda usar la operación RefreshAccessToken para que los tokens de actualización importados que ya no sean válidos se quiten correctamente del sistema de Apigee.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-05 (UTC)"],[],[],null,["# Antipattern: Issuing refresh tokens without invoking refresh flow\n\n*You're viewing **Apigee** and **Apigee hybrid** documentation.\nView [Apigee Edge](https://docs.apigee.com/api-platform/antipatterns/issuing-refresh-tokens) documentation.*\n\n\nRefresh tokens are used to obtain new access tokens after the original access\ntoken has expired or been revoked. Refresh tokens are optionally issued along\nwith access tokens with some of the grant types.\n\nAntipattern\n-----------\n\n\nRefresh tokens can be issued either by Apigee or via external resources.\nHowever, this is an antipattern if the refresh token is never used via the\nRefreshAccessToken operation.\n\nImpact\n------\n\n\nPersisting refresh tokens unnecessarily negatively impacts both performance\nand reliability of the authentication system.\n\nBest practice\n-------------\n\n### If the refresh token is never needed\n\n\nIf refresh tokens are not needed, developers should use the 'client\ncredentials' or 'implicit' grant types when generating new access tokens.\nThese grant types do not issue refresh tokens, which is desirable if the\nrefresh token functionality is not required.\n\n### If the proxy performs only read operation with refresh tokens\n\n\nApigee offers\n[GetOAuthV2Info](https://cloud.google.com/apigee/docs/api-platform/reference/policies/get-oauth-v2-info-policy#refresh-token) which can be used to retrieve refresh token\nattributes. Developers should not use this policy to validate refresh tokens.\nIt is an antipattern that the refresh token is never used to exchange for a\nnew access token. Note that Apigee can work with\n[external access and refresh tokens](/apigee/docs/api-platform/security/oauth/use-third-party-oauth-system). If the refresh token flow happens\noutside of Apigee, it's highly recommended to use the RefreshAccessToken\noperation such that any imported refresh tokens no longer valid are properly\nremoved from the Apigee system.\n\nFurther reading\n---------------\n\n[Refreshing an access token](/apigee/docs/api-platform/security/oauth/access-tokens#refreshinganaccesstoken)"]]
