反模式:在不调用刷新流的情况下发放刷新令牌

您正在查看 ApigeeApigee Hybrid 文档。
查看 Apigee Edge 文档。

在原始访问令牌过期或被撤消后,刷新令牌可用于获取新的访问令牌。对于某些授权类型,您可以随刷新令牌一起发出访问令牌。

反模式

刷新令牌可以由 Apigee 或通过外部资源颁发。 不过,如果从未通过 RefreshAccessToken 操作使用过刷新令牌,则这是一种反模式。

影响

不必要地持久保存刷新令牌会对身份验证系统的性能和可靠性产生负面影响。

最佳做法

如果永远不需要刷新令牌

如果不需要刷新令牌,开发者在生成新的访问令牌时应使用“客户端凭证”或“隐式”授权类型。这些授权类型不会颁发刷新令牌,如果不需要刷新令牌功能,则这是理想的选择。

如果代理仅使用刷新令牌执行读取操作

Apigee 提供 GetOAuthV2Info,可用于检索刷新令牌属性。开发者不应使用此政策来验证刷新令牌。 刷新令牌从不用于交换新的访问令牌,这是一种反模式。请注意,Apigee 可以使用 外部访问令牌和刷新令牌。如果刷新令牌流程在 Apigee 之外发生,强烈建议使用 RefreshAccessToken 操作,以便从 Apigee 系统中正确移除任何不再有效的导入刷新令牌。

更多详情

刷新访问令牌