Estás consultando la documentación de Apigee y Apigee Hybrid.
Consulta la documentación de
Apigee Edge.
Los tokens de actualización se usan para obtener nuevos tokens de acceso una vez que el token de acceso original ha caducado o se ha revocado. Los tokens de actualización se emiten opcionalmente junto con los tokens de acceso con algunos de los tipos de concesión.
Antipatrón
Los tokens de actualización pueden emitirse mediante Apigee o a través de recursos externos. Sin embargo, se trata de un antipatrón si el token de actualización nunca se usa mediante la operación RefreshAccessToken.
Impacto
Si los tokens de actualización se conservan innecesariamente, se verán afectados negativamente tanto el rendimiento como la fiabilidad del sistema de autenticación.
Práctica recomendada
Si el token de actualización nunca es necesario
Si no se necesitan tokens de actualización, los desarrolladores deben usar los tipos de concesión "client credentials" o "implicit" al generar tokens de acceso nuevos. Estos tipos de concesión no emiten tokens de actualización, lo que es recomendable si no se necesita la función de token de actualización.
Si el proxy solo realiza operaciones de lectura con tokens de actualización
Apigee ofrece GetOAuthV2Info, que se puede usar para recuperar atributos de tokens de actualización. Los desarrolladores no deben usar esta política para validar tokens de actualización. Es un antipatrón que el token de actualización nunca se use para obtener un nuevo token de acceso. Ten en cuenta que Apigee puede trabajar con tokens de acceso y de actualización externos. Si el flujo del token de actualización se produce fuera de Apigee, es muy recomendable usar la operación RefreshAccessToken para que los tokens de actualización importados que ya no sean válidos se eliminen correctamente del sistema de Apigee.