Vous consultez la documentation d'Apigee et d'Apigee hybrid.
Consultez la documentation d'Apigee Edge.
Les jetons d'actualisation permettent d'obtenir de nouveaux jetons d'accès valides une fois que le jeton d'accès d'origine a expiré ou a été révoqué. Les jetons d'actualisation sont éventuellement fournis avec des jetons d'accès avec certains types de subvention.
Antimodèle
Les jetons d'actualisation peuvent être émis par Apigee ou via des ressources externes. Toutefois, il s'agit d'un antimodèle si le jeton d'actualisation n'est jamais utilisé via l'opération RefreshAccessToken.
Impact
La persistance des jetons d'actualisation a un impact négatif inutile sur les performances et la fiabilité du système d'authentification.
Bonne pratique
Si le jeton d'actualisation n'est jamais nécessaire
Si les jetons d'actualisation ne sont pas nécessaires, les développeurs doivent utiliser les types d'autorisation "identifiants client" ou "implicite" lors de la génération de nouveaux jetons d'accès. Ces types d'autorisation n'émettent pas de jetons d'actualisation, ce qui est souhaitable si la fonctionnalité de jeton d'actualisation n'est pas requise.
Si le proxy n'effectue que des opérations de lecture avec des jetons d'actualisation
Apigee propose GetOAuthV2Info, qui peut être utilisé pour récupérer les attributs du jeton d'actualisation. Les développeurs ne doivent pas utiliser cette règle pour valider les jetons d'actualisation. Il s'agit d'un antimodèle si le jeton d'actualisation n'est jamais utilisé pour échanger contre un nouveau jeton d'accès. Notez qu'Apigee peut fonctionner avec des jetons d'accès et d'actualisation externes. Si le flux de jetons d'actualisation se produit en dehors d'Apigee, il est fortement recommandé d'utiliser l'opération RefreshAccessToken afin que les jetons d'actualisation importés qui ne sont plus valides soient correctement supprimés du système Apigee.