Esta é a documentação da Apigee e da Apigee híbrida.
Confira a documentação da Apigee Edge.
Os tokens de atualização são usados para receber novos tokens de acesso depois que o token de acesso original expirar ou for revogado. Os tokens de atualização podem ser emitidos junto com os tokens de acesso com alguns dos tipos de concessão.
Antipadrão
Os tokens de atualização podem ser emitidos pela Apigee ou por recursos externos. No entanto, isso é um antipadrão se o token de atualização nunca for usado pela operação RefreshAccessToken.
Impacto
A persistência de tokens de atualização afeta negativamente a performance e a confiabilidade do sistema de autenticação.
Prática recomendada
Se o token de atualização nunca for necessário
Se os tokens de atualização não forem necessários, os desenvolvedores precisarão usar os tipos de concessão "credenciais do cliente" ou "implícito" ao gerar novos tokens de acesso. Esses tipos de concessão não emitem tokens de atualização, o que é desejável se a funcionalidade do token de atualização não for necessária.
Se o proxy executar apenas a operação de leitura com tokens de atualização
A Apigee oferece GetOAuthV2Info, que pode ser usado para recuperar os atributos do token de atualização. Os desenvolvedores não devem usar essa política para validar tokens de atualização. É um antipadrão que o token de atualização nunca é usado para trocar por um novo token de acesso. A Apigee pode funcionar com tokens de acesso e de atualização externos. Se o fluxo de token de atualização acontecer fora da Apigee, é altamente recomendável usar a operação RefreshAccessToken para que todos os tokens de atualização importados que não forem mais válidos sejam removidos corretamente do sistema da Apigee.
Leitura adicional
Como atualizar um token de acesso