Antimodèle: Émettre des jetons d'actualisation sans appeler le flux d'actualisation

Vous consultez la documentation d'Apigee et d'Apigee hybrid.
Consultez la documentation d'Apigee Edge.

Les jetons d'actualisation permettent d'obtenir de nouveaux jetons d'accès valides une fois que le jeton d'accès d'origine a expiré ou a été révoqué. Les jetons d'actualisation sont éventuellement fournis avec des jetons d'accès avec certains types de subvention.

Antimodèle

Les jetons d'actualisation peuvent être émis par Apigee ou via des ressources externes. Toutefois, il s'agit d'un antimodèle si le jeton d'actualisation n'est jamais utilisé via l'opération RefreshAccessToken.

Impact

La persistance des jetons d'actualisation a un impact négatif inutile sur les performances et la fiabilité du système d'authentification.

Bonne pratique

Si le jeton d'actualisation n'est jamais nécessaire

Si les jetons d'actualisation ne sont pas nécessaires, les développeurs doivent utiliser les types d'autorisation "identifiants client" ou "implicite" lors de la génération de nouveaux jetons d'accès. Ces types d'autorisation n'émettent pas de jetons d'actualisation, ce qui est souhaitable si la fonctionnalité de jeton d'actualisation n'est pas requise.

Si le proxy n'effectue que des opérations de lecture avec des jetons d'actualisation

Apigee propose GetOAuthV2Info, qui peut être utilisé pour récupérer les attributs du jeton d'actualisation. Les développeurs ne doivent pas utiliser cette règle pour valider les jetons d'actualisation. Il s'agit d'un antimodèle si le jeton d'actualisation n'est jamais utilisé pour échanger contre un nouveau jeton d'accès. Notez qu'Apigee peut fonctionner avec des jetons d'accès et d'actualisation externes. Si le flux de jetons d'actualisation se produit en dehors d'Apigee, il est fortement recommandé d'utiliser l'opération RefreshAccessToken afin que les jetons d'actualisation importés qui ne sont plus valides soient correctement supprimés du système Apigee.

Documentation complémentaire

Actualiser un jeton d'accès