Stai visualizzando la documentazione di Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
I token di aggiornamento vengono utilizzati per ottenere nuovi token di accesso dopo che il token di accesso originale è scaduto o è stato revocato. I token di aggiornamento vengono emessi facoltativamente insieme ai token di accesso con alcuni tipi di concessione.
Antipattern
I token di aggiornamento possono essere emessi da Apigee o tramite risorse esterne. Tuttavia, si tratta di un antipattern se il token di aggiornamento non viene mai utilizzato tramite l'operazione RefreshAccessToken.
Impatto
La persistenza dei token di aggiornamento influisce negativamente inutilmente sia sulle prestazioni che sull'affidabilità del sistema di autenticazione.
Best practice
Se il token di aggiornamento non è mai necessario
Se i token di aggiornamento non sono necessari, gli sviluppatori devono utilizzare i tipi di concessione "credenziali client" o "implicita" per generare nuovi token di accesso. Questi tipi di concessione non emettono token di aggiornamento, il che è auspicabile se la funzionalità del token di aggiornamento non è richiesta.
Se il proxy esegue solo operazioni di lettura con token di aggiornamento
Apigee offre GetOAuthV2Info che può essere utilizzato per recuperare gli attributi del token di aggiornamento. Gli sviluppatori non devono utilizzare questo criterio per convalidare i token di aggiornamento. È un antipattern che il token di aggiornamento non venga mai utilizzato per lo scambio con un nuovo token di accesso. Tieni presente che Apigee può funzionare con token di accesso e aggiornamento esterni. Se il flusso del token di aggiornamento avviene al di fuori di Apigee, ti consigliamo vivamente di utilizzare l'operazione RefreshAccessToken in modo che tutti i token di aggiornamento importati non più validi vengano rimossi correttamente dal sistema Apigee.
Per approfondire
Aggiornamento di un token di accesso